XSS 原名:Cross-site scripting,為什麼不叫 CSS 呢?因為程式的世界已經有另一位大佬叫做 CSS 了!XD
XSS 原理
在撰寫 HTML 程式的時候,只要加上<script>就可以隨時加入 JavaScript 讓網頁升級成動態網頁或互動式網頁,但因為 JavaScript 如此方便,造就了如果今天網頁有一個 input 可以讓使用者輸入,有心人是在上面輸入 JavaScript 的語法,我們的網頁程式就會直接被放入一段程式碼,最常見的例子就是導向其他惡意網站,例如在 input 中輸入以下程式碼,網頁就會直接被導向 Google 頁面。
<script>location.href="https://www.google.com/"</script>
XSS 防範方式
因為此種方法主要是在 HTML 程式馬上加入惡意程式,所以防範的方式就是讓加入的值不要被解析成程式,它只要被當成一個字串去處理,就不會有多餘的問題了,對應的方法可以使用 PHP 內建的 htmlspecialchars 將任何使用者可以輸入的值作為字串處理,就不會影響到我們的網頁運作了。
PHP htmlspecialchars 參考文件
![[筆記] JavaScript: Understanding the Weird Parts - Build your own lib/framework](https://blog.techbridge.cc/2018/05/05/build-own-js-lib/?utm_source=coderbridge-io&utm_medium=blog_related_post_img&utm_campaign=Li- Fang Shen_[筆記] JavaScript: Understanding the Weird Parts - Build your own lib/framework_@ArvinH_https://static.coderbridge.com/images/covers/default-post-cover-2.jpg)
