xss攻击

ss攻击全称跨站脚本攻击，xss是一种在web应用中的计算机安全漏洞，它允许用户注入特殊的代码，从而达到攻击的目的，例如，盗取cookie，破坏网页结构，重定向等。
XSS攻击的核心就是靠HTML < script >标签或元素属性来执行Javascript脚本。

评论功能，最简单的输入script alter(666)（博客园做了处理，会直接把script脚本过滤掉）
之前测试我朋友的博客网站,就攻击成功了,
其实tp中参数配置可以过滤的

// 默认全局过滤方法 用逗号分隔多个(全局配置)
'default_filter'         => 'htmlentities',

$data=input('post.','','htmlentities');  //局部配置

之前报名英语四六级的时候，意外发现了一个bug，四六级位置满了，通过修改前端代码，把按钮禁止disabled去掉，然后在浏览器控制台写一个js定时器，每隔0.5s点击这个提交按钮，
他会每隔0.5s提交，虽然他这个后台加了判断，但是没添加封禁功能，那么我可以通过这个js代码去刷这个考试名额。

标签：xss,script,攻击,js,htmlentities,过滤
来源： https://www.cnblogs.com/zhuweidong/p/14664048.html