安全地通过一个URL通过URL在iframe中打开
问题描述:
我想通过URL到一个网站,所以它可以在iframe中打开,该URL用于注册确认,以便用户获得他们的ID /密码,我知道如何做到这一点,网址可以正常打开,但是它传递给网站(这是一家网上商店)的含义是什么?安全地通过一个URL通过URL在iframe中打开
这里是商店网站上的脚本:
<?
echo ($lnk); echo"<br>";
echo"<iframe src =\"" . $lnk . "\" width=\"1000\" height=\"900\"></iframe>";
?>
显然,这需要保护,但我只有开始学习安全,我不能让这个网上去而不一定是安全,任何帮助表示赞赏。
答
如果您打算回显$ _POST值,那么确实不能被保护。例如,您可以将链接保留在$ _SESSION中。或者,它限制在特定的域,并通过刚刚POST
发送URL的其余<?
$lnk = $_POST[link];
echo ($lnk); echo"<br>";
echo"<iframe src =\"http://domain.com/" . str_replace('@','',$lnk) . "\" width=\"1000\" height=\"900\"></iframe>";
?>
[编辑]
是啊,我知道的XSS。这就是为什么我说“这真的不能得到保障”。尽管如此,如果你仍然决定这样做,htmlspecialchars。
+1同意。来自浏览器的任何东西都不可信 – 2010-08-13 18:25:32
嗨,这个回声只是为了测试目的,它会在脚本完成后被删除。 – Mankind1023 2010-08-13 18:29:10
这也是吗? echo“