XSS攻擊時是怎么繞過htmlspecialchars函數(shù)的？不幸的是，htmlspecialchars函數(shù)只能在特定場景中繞過。htmlspecialchars（）函數(shù)將預(yù)定義字符轉(zhuǎn)換為HTML實(shí)體

XSS攻擊時是怎么繞過htmlspecialchars函數(shù)的？

不幸的是，htmlspecialchars函數(shù)只能在特定場景中繞過。

htmlspecialchars（）函數(shù)將預(yù)定義字符轉(zhuǎn)換為HTML實(shí)體，從而使XSS攻擊無效。但是，此函數(shù)的默認(rèn)配置不會過濾單引號（”），只會將quotestyle選項設(shè)置為ENT，單引號在引用時會被過濾掉，但單引號仍然可以用來關(guān)閉事件，然后插入惡意XSS代碼。

如下圖所示，為什么許多人認(rèn)為編程的困難在于語言？你真的認(rèn)為有人會讀漢字嗎？換成漢字，你會有十幾種排序算法嗎？你能理解河內(nèi)塔的遞歸嗎？說一個簡單，孩子的編程刮刮，多么簡單，就像積木一樣，那么你去看源代碼的八級靈魂與刮刮決斗，你就會知道編程的難度與語言無關(guān)，只與人有關(guān)。

能不能用一個轉(zhuǎn)換程序，把中文編程轉(zhuǎn)換成代碼？讓傻子都會編程？

XSS是近年來互聯(lián)網(wǎng)上流行的一種跨站點(diǎn)腳本攻擊。為了區(qū)別于CSS（層疊樣式表），它被稱為XSS。其攻擊原理是惡意瀏覽器通過網(wǎng)站功能構(gòu)造巧妙的腳本惡意代碼存儲在網(wǎng)站數(shù)據(jù)庫中，如果程序沒有被過濾或者敏感字符沒有被嚴(yán)格過濾，就會直接輸出或?qū)懭霐?shù)據(jù)庫。當(dāng)合法用戶訪問這些頁面時，程序?qū)⑤敵鰯?shù)據(jù)庫中的信息，這些惡意代碼將被執(zhí)行。