跨站脚本攻击危害究竟有多大?
刚刚看到w3school上的php form validation部分 http://www.w3schools.com/php/php_form_validation.asp
里面提到表单提交的数据要用htmlspecialchars()函数处理。
我想问问,即使不处理能造成多大的危害?顶多不过被插入个脚本转向到其他的网站吧。应该是读取不到用户本地的数据,因为貌似Javascript是不能读取本地文件的。
如果危害很大,那岂不是每个提交的field都要用htmlspecialchars()函数处理一下?