Laravel 5 中防止 XSS 跨站攻击的例子

原创 2016年08月30日 11:38:35

1、安装

HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。Purifier 是在 Laravel 5 中集成 HTMLPurifier 的扩展包,我们可以通过 Composer 来安装这个扩展包:

composer require mews/purifier

安装完成后,在配置文件config/app.php的providers中注册HTMLPurifier服务提供者:

'providers' => [
    // ...
    Mews\Purifier\PurifierServiceProvider::class,
]
然后在aliases中注册Purifier门面:

'aliases' => [
    // ...
    'Purifier' => Mews\Purifier\Facades\Purifier::class,
]

2、配置

要使用自定义的配置,发布配置文件到config目录:

php artisan vendor:publish
这样会在config目录下生成一个purifier.php文件:

return [

    'encoding' => 'UTF-8',
    'finalize' => true,
    'preload'  => false,
    'cachePath' => null,
    'settings' => [
        'default' => [
            'HTML.Doctype'             => 'XHTML 1.0 Strict',
            'HTML.Allowed'             => 'div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
            'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
            'AutoFormat.AutoParagraph' => true,
            'AutoFormat.RemoveEmpty'   => true
        ],
        'test' => [
            'Attr.EnableID' => true
        ],
        "youtube" => [
            "HTML.SafeIframe" => 'true',
            "URI.SafeIframeRegexp" => "%^(http://|https://|//)(www.youtube.com/embed/|player.vimeo.com/video/)%",
        ],
    ],

];

3、使用示例

可以使用辅助函数clean:

clean(Input::get('inputname'));

或者使用Purifier门面提供的clean方法:

Purifier::clean(Input::get('inputname'));

还可以在应用中进行动态配置:

clean('This is my H1 title', 'titles');
clean('This is my H1 title', array('Attr.EnableID' => true));

或者你也可以使用Purifier门面提供的方法:

Purifier::clean('This is my H1 title', 'titles');
Purifier::clean('This is my H1 title', array('Attr.EnableID' => true));

php防止xss攻击

 <?PHP

function clean_xss(&$string, $low = False)
{
 if (! is_array ( $string ))
 {
  $string = trim ( $string );
  $string = strip_tags ( $string );
  $string = htmlspecialchars ( $string );
  if ($low)
  {
   return True;
  }
  $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
  $no = '/%0[0-8bcef]/';
  $string = preg_replace ( $no, '', $string );
  $no = '/%1[0-9a-f]/';
  $string = preg_replace ( $no, '', $string );
  $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
  $string = preg_replace ( $no, '', $string );
  return True;
 }
 $keys = array_keys ( $string );
 foreach ( $keys as $key )
 {
  clean_xss ( $string [$key] );
 }
}
//just a test
$str = '111cn.net<meta http-equiv="refresh" content="0;">';
clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
echo $str;
?>


版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

VS2008.NET对ashx页面防止跨站攻击(XSS)

首先,给大家贴出解决方案,很简单,只需要加一句代码就OK。 context.Request.ValidateInput();   最近项目中做了一个ashx的页面向其他人提供一个ajax的接口,...
  • bdstjk
  • bdstjk
  • 2012-04-25 16:16
  • 5321

XSS跨站攻击

  • 2012-11-29 21:27
  • 709KB
  • 下载

总结 XSS 与 CSRF 两种跨站攻击

总结 XSS 与 CSRF 两种跨站攻击 转自:https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/ XSS:跨站脚本(Cro...

xss跨站攻击

  • 2015-09-25 17:27
  • 6.60MB
  • 下载

XSS跨站攻击详解

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的...

专题研究第三期:XSS攻击——跨站(引言篇)

sql注射像一把利剑直接插入目标的胸膛,犀利得锋芒毕露。接下来我们一起来看看跨站。我把她比作“温柔杀手”,一把隐在背后的匕首。引言之 跨站利用思维导向sql注射是直接针对具有sql注射漏洞的系统,我们...

Http的会话跟踪和跨站攻击(xss)

会话跟踪什么是会话?客户端打开与服务器的连接发出请求到服务器响应客户端请求的全过程称之为会话。什么是会话跟踪?会话跟踪指的是对同一个用户对服务器的连续的请求和接受响应的监视。为什么需要会话跟踪?浏览器...

总结 XSS 与 CSRF 两种跨站攻击

转载自: https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/  在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)