用户投稿甚么是XSS
针对网站有很多种攻击方式,
SQL Injection是一种,
另外还有一种常见的是XSS,
如果到网路上查会有很多XSS相关的文章,
那到底什么是XSS呢?
XSS又称为跨站脚本攻击(Cross Site Scripting),
看了这个名称,
就知道它跟JavaScript相关,
简单说就是利用JavaScript来进行攻击,
譬如窃取你的Cookie资料,
然后伪造身份等等的,
不过我们在这里不谈攻击,
我们只谈如何防护.
我们可以尝试一下在blade.php当中使用 {{ $data->content }}来显示资料,
会出现以下画面,
所有的Html语法全部都显示出来了,
这样不如不要用文字编辑器,
那如果我们用了{!! $data->content !!}的方式,
我们现在再写一个留言,
留言内容也很简单,
就下面这样就好
这是测试<script>alert('测试');</script>我们神奇的发现,
好像没甚么事情发生耶~
如果去看原始码,
会发现它把每一行都转成字串来处理,
自然就不会有XSS的问题,
所以如果我们用了新版的Laravel,
可以假装没有XSS这件事,
这让我们在开发上也比较轻鬆.
印象中以前的Laravel版本会有XSS的问题,
可能后来改掉了,
查一下我的版本:
php artisan --version
原来是7.28的版本,
网路上还有 Laravel 5 如何处理XSS的文章,
所以 Laravel 5 应该还是有XSS的隐患.
微信扫一扫打赏
支付宝扫一扫打赏
