如何通过知道从哪个站点用户请求数据来避免跨站点脚本?
如何避免跨站点脚本
你不能通过知道用户从哪个站点请求数据来避免跨站点脚本。
$_SERVER['HTTP_REFERER']
应该包含请求来源的URL。
编辑:如果你实际上试图防止XSS,那么它主要是必须确保你使用htmlentities()无处不在,你打印未经过滤的用户数据,并应该真正使用它几乎所有的数据,你打印不意味着被视为原始HTML。
虽然在编写PHP代码时也有一堆注意事项,但它们太多了,无法在这里讨论,没有任何指针
我不确定是否知道推荐人URL将为您工作,但是
大多数时候,XSS攻击来自于输入或数据在显示给浏览器之前没有很好地过滤或清理,比如饼干/会话。
请阅读下面的文章,这篇文章教一个库来防止XSS攻击。
链接:http://oozman.com/php-tutorials/avoid-cross-site-scripting-attacks-in-php/
使用$_SERVER["HTTP_REFERER"]
,但请参阅对此问题的回答
在$_SERVER数组在基本情况下,这是$_SERVER['HTTP_REFERER'] -但如果用户去你的网站从js方法如document.loc.href = 'yoursite.com'。由于安全原因,IE(在IE7上测试)不会向您发送有关推荐人的信息。