Немного фона. XSS сканер моей компании обнаружили, что login.php уязвима для:Почему слэш после входа в систему после входа в систему.
https://uzypav/login.php/ab7e7%22%3E%3Cimg%20src%3da%20onerror%3dalert(1)%3E47eee
Это было адресовано с htmlentities().
Я заметил, однако, что косая черта ("/") после моего имени сценария (https://uzypav/login.php/
) останавливает изображения от отображения, и пока не отображает мой контент.
- Это нормально?
- Есть ли способ защититься от этого?
- Это ситуация 404?
Посмотрите мой код ниже. Заранее благодарны за Вашу помощь.
<div style="background-image:url(images/back.jpg)">
<h1>LOGIN</h1>
<form action="login.php" method="POST">
<input id="username" type="text" name="username" value="" /><br>
<input id="password" type="text" name="password" value="" /><br>
<input id="submit" name="submit" type="submit" value="submit" />
</form>
</div>
<?php
if(@$_POST["submit"] == "submit")
echo "submitted";
?>
Wow. RoyBass и Jannis оба правы. Но насколько это возможно, чтобы изменить полный путь изображения от машины разработки до производства? Это случай использования глобальной полной корневой переменной url? – uzy
@uzy, вы также можете использовать ''/images/back.jpg'', тогда вам не нужно добавлять домен – jmattheis
FYI: я не могу правильно определить ответы. Мне сказали, что у меня недостаточно очков. @ Jannis, я сомневаюсь, что /images/back.jpg обращается к моей проблеме, но полный url делает. Но как я могу применить его к существующему сайту с учетом; javascripts, jquery, dhtml_goodies и т. д.? – uzy