笨XSS篩選問題

應用/ controlers /的welcome.php笨XSS篩選問題

<?php 
class Welcome extends CI_Controller { 

    public function index() 
    { 
     if ($val = $this->input->post('test')) 
     { 
      var_dump($val); 
     } 
     else 
     { 
      $this->load->view('welcome_message'); 
     } 
    } 
}

應用/視圖/ weclome_message.php

<form action="" method="POST"> 
<input type="text" name="test" /> 
<input type="submit" /> 
</form>

輸出與XSS過濾ON和輸入％9C：

string(1) "œ"

XSS濾波器OFF和輸入％9c輸出：

string(3) "%9c"

我期待第一個與第二個值相同。究竟發生了什麼？

來源

2013-11-02 Chris Muench

我認爲是在xss_clean功能發生因

$str = rawurldecode($str);

。看看行346：

https://github.com/EllisLab/CodeIgniter/blob/develop/system/core/Security.php

你可以嘗試評論說行，然後看看會發生什麼。

來源

2013-11-02 21:25:44 sanis

笨XSS篩選問題

回答

相關問題