對於反射型XSS,在地址欄裏的參數,比如page,被傳遞到服務器端的腳本,比如(PHP),再輸出到客戶端。
形如:
<?php
$p = $_GET["page"];
echo $p;
?>
在防範這類XSS時,通常可以在服務器端對傳入的參數進行過濾,來防範這類攻擊。
形如以下僞代碼:
<?php
function filter($str){
將$str裏可能造成跨站的特殊字符過濾掉,例如,<, >等。
return $str;
}
$p = $_GET["page"];
echo filter($p);
?>