libcurl函数库的安
javascript事件
Jan
8
因这个 0day ,看了一下代码,发现 common.inc.php 文件中包含如下简单的防范代码:
用于防止XSS攻击,只支持反射型的,在某些环境下是可以绕过的。估计是N早加入了,估计是我out了。。
if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
$temp = urldecode($_SERVER['REQUEST_URI']);
if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
exit('Request Bad url');
}
$temp = urldecode($_SERVER['REQUEST_URI']);
if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
exit('Request Bad url');
}
用于防止XSS攻击,只支持反射型的,在某些环境下是可以绕过的。估计是N早加入了,估计是我out了。。
lengyueduyun
2010/02/25 22:44
if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
深意
2010/01/10 19:43
分页: 1/1 
1 
1
