更新时间:2023-01-30 来源:黑马程序员 浏览量:
要防止跨站攻击,以下需要做的是()。(选择三项)
A.永远不要使用include和require引入靠用户输入决定路径的文件(如include"$username/script.txt";)
B.除非网站需要,否则关闭allow_url_fopen
C.避免使用如curl这类用来打开远程连接的扩展库。
D.使用类似strip_tags()一类的函数过滤一个用户输入给另一个用户看的内容
E.以上都对
答案:A、B、D。
如果用户通过篡改URL来修改$username变量,并且allow_url_fopen是打开的,那么PHP将会下载某台非信任的远程服务器上的script.txt文件,并把它当作本地PHP脚本来执行。所以不要使用include和require的方式引用文件,也尽量关闭allow_url_fopen。所以,选项A选项B正确。
对于选项C,如果需要在PHP中打开远程连接受信任的扩展库,则使用curl方法是可以的。所以,选项C错误。
对于选项D,一个用户输入的内容给另一个用户看时是需要使用strip_tags()函数过滤HTML标签的,有效防止造成跨站攻击或者浏览器bug。所以,选项D正确。
所以,本题的答案为A、B、D。
以下是黑马程序员公开的几套软件测试教程,可以下载跟着学学习,如果想转到软件测试行业,找到软件测试工作,推荐报班学习黑马软件测试课程。