前言：最近一直在挖漏洞，碰到的XSS漏洞最多了，今天就顺便来讲一下，如有错的地方，烦请指出。00×1    什么是XSS漏洞：   XSS又叫CSS(CrossSiteScript)，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。​00×2  XSS漏洞有什么危害：     1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号   2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力   3、盗窃企业重要的具有商业价值的资料   4、非法转账   5、强制

我正在运行OWASPZAP作为自动CI/CD流程的一部分。我正在进行蜘蛛和积极的扫描。该报告显示有路径遍历误差。首先，这是一个Angular2站点，因此服务器上不会揭示任何内容。其次，当我在有或没有“攻击”的情况下查看有关的URL时，结果是相同的。此URL仅将JavaScript文件下载到浏览器中，而Querystring被忽略了。我们正在使用webpack进行捆绑。https：//mysite/js/vendor.ece5bf651436a14bea3e.bundle.js？query=c％3A％2F如果是假阳性，我们如何标记这一点，以便随后的运行不会继续将其视为问题？我们正在使用每周的Do

OWASP的ZAP的结果对于消除我网站的易受攻击部分非常有用。但是，我发现了很多我根本无法修复的结果。例如，其中一个get参数已将javascript:alert(1);放入变量中。然后，此变量由PHP在隐藏元素的value属性中输出。所以最终的HTML看起来像:此值通常用于使用JavaScript填充下拉菜单。如果为1，则显示可选的搜索过滤器，如果为0，则不显示任何内容。所以它只用于失败的字符串比较。我看不出有什么办法可以利用它，警报不会像ZAP向我展示的其他攻击那样运行。输出经过编码，因此它们无法像以前发现的攻击那样通过以"/>结束引号或元素来注入(inject)HTML，因为这些

在我们的laravel5应用程序中，登录是通过ajax进行的。如果用户注销并在session到期之前重新登录，一切都很好。但如果用户注销并在该页面上保持空闲状态直到session过期，则用户在尝试重新登录时将收到csrfTokenMismatch异常。我知道在verifyCsrfToken中间件中，laravel检查session是否与csrftoken匹配。同样在Guard.phplogout()方法中，session将在注销时被清除。所以我的问题是:session是否真的在注销时刷新，如果是这样，用户如何在我设置的session到期之前仍然可以重新登录？session过期时csrf

我正在努力阻止CSRF在php通过以下方式:A$_SESSION['token']在每一页的开头生成。我已经知道使用$_COOKIES这是完全错误的，因为它们是针对每个请求自动发送的。在每个,以下输入:">已附加。$_SESSION['token'];使用$_POST['t']验证现在我有几个小问题:这是防止CSRF的好方法吗？如果不是，请解释。当打开另一个页面时设置相同的$_SESSION变量，前一个(仍然打开的)页面变得无效，如何防止这种情况？对于表单这个方法很清楚，但是如何处理正常的链接呢？是否也有必要将token附加到每个链接？非常感谢您。 最佳答案

我正在使用Laravel5.4，我的路由在api中间件中我看到我需要将我的路由传输到网络中间件，但我需要它们在api中间件上，因为我正在创建一个RESTfulapi，关于如何的任何建议我可以将csrf与api中间件一起使用吗？ 最佳答案 CSRF保护可防止使用先前经过身份验证的用户进行攻击(通常使用session设置状态)https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF).restfulAPI没有状态https://en.wikipedia.org/wi

我做了一个简单的注册/时事通讯网站，但我遇到了一个奇怪的问题。有些人得到一个错误，说AnErrorWasEncounteredTheactionyouhaverequestedisnotallowed.我已经尝试过谷歌，发现当CSRF设置为true时，人们遇到了同样的问题。然而，我并不是每个人都会遇到，只是一小部分人。我正在使用form_open和form_close，我可以看到隐藏字段(token)。我使用的是最新版本的Codeigniter2.0.2这是我的Controllerfunction__construct(){parent::__construct();session_s

根据最新问卷调查结果，86%的软件开发人员和AppSec经理对代码中存在漏洞知情。88%的受访AppSec经理表示，在过去1年里因代码漏洞遭到攻击。市场调查机构Checkmarx对1500多名首席信息安全官（CISO）、AppSec经理和软件开发人员展开调查，发现60%的漏洞可以在代码构建或者测试阶段检测发现的。IT之家援引报告内容，发现34%的受访者表示AppSec扫描已完全集成并自动化到他们的软件配置管理（SCM）系统、集成开发环境（IDE）和持续集成（CI）/持续交付（CD）工具中。受访CISO表示，代码中风险最大的是API的使用和暴露，占比为37%；其次是开源软件供应链（即恶意代码）（

这个问题在这里已经有了答案:关闭12年前。PossibleDuplicate:WhatarethebestpracticesforavoidxssattacksinaPHPsite我需要防止PHP代码中的XSS攻击，有没有好的和简单的库来解决这个问题？

我是PHP的新手，但我听说XSS攻击很糟糕。我知道它们是什么，但我该如何保护我的网站？ 最佳答案 为了防止XSS攻击，您只需正确检查和验证您计划使用的所有用户输入数据，并且不允许从该表单插入html或javascript代码。或者您可以使用htmlspecialchars()将HTML字符转换为HTML实体。因此，像这样标记标签开头/结尾的字符会变成html实体，您可以使用strip_tags()只允许某些标签，因为该函数不会去除有害属性，如onclick或onload。 关于php-防