XSS防范

已于 2022-02-15 11:25:30 修改
阅读量111 收藏
点赞数
文章标签: xss javascript php
于 2022-02-14 15:15:05 首次发布
原文链接:https://blog.csdn.net/Doc_ACwhite/article/details/122924504?spm=1001.2014.3001.5502
版权

TP6封装使用步骤:

① 使用composer执行命令,安装 ezyang/htmlpurifier 扩展类库
项目目录下

composer require ezyang/htmlpurifier


② 在app/common.php中定义remove_xss函数

if (!function_exists('remove_xss')) {
    //使用htmlpurifier防范xss攻击
    function remove_xss($string){
        //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件
        //require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
        // 生成配置对象
        $cfg = HTMLPurifier_Config::createDefault();
        // 以下就是配置:
        $cfg -> set('Core.Encoding', 'UTF-8');
        // 设置允许使用的HTML标签
        $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
        // 设置允许出现的CSS样式属性
        $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
        // 设置a标签上是否允许使用target="_blank"
        $cfg -> set('HTML.TargetBlank', TRUE);
        // 使用配置生成过滤用的对象
        $obj = new HTMLPurifier($cfg);
        // 过滤字符串
        return $obj -> purify($string);
    }
}


说明:htmlpurifier插件,会过滤掉script标签以及标签包含的js代码。

中间件处理数据

class Safe
{
    /**
     * 处理请求
     *
     * @param \think\Request $request
     * @param \Closure       $next
     * @return Response
     */
    public function handle($request, \Closure $next)
    {
        try {
            //
            # 验证token 、可以直接加在路由后面
            # 验证时间戳
            $this->checkTime();
            # 验证签名
            $this->checkSign();
 
            return $next($request);
        }catch (Exception $exception) {
            return  json($exception->getMessage());
        }
 
    }
 
    /**
     * 验证时间戳
     * @throws Exception
     */
    public function checkTime(){
        $client_time = request()->get('timestamp') ?: request()->post('timestamp');
        if (!is_numeric($client_time)) {
            throw new Exception('时间戳格式不正确');
        }
        if (time() - $client_time > 120) {
            throw new Exception('请求超时');
        }
    }
 
    /**
     * 检查签名
     */
    public function checkSign(){
        $client_sign = request()->get('sign') ?: request()->post('sign');
        # 判断是否有签名
        if (!$client_sign) {
            throw new Exception('签名不正确');
        }
 
        # 判断签名是否正确
        $server_sign = $this->getSign();
 
        if ($client_sign != $server_sign) {
            throw new Exception('签名不正确');
        }
    }
 
    /**
     * 获取服务端签名
     * @return string
     */
    public function getSign(){
        # 获取所有请求的参数
        $params = request()->all();
        # 签名规则
        # 第一步 参与签名的参数不包括签名本身、不包括token
        unset($params['sign']);
        unset($params['token']);
        # 第二步 按照ASCII排序
        ksort($params);
        $wait_sign = '';
        foreach ($params as $key=> $value) {
            $wait_sign .= $key.'='.$value.'&';
        }
        # 去除多余的& 符号
        $wait_sign = rtrim($wait_sign,'&');
        return  md5($wait_sign);
    }
}


前端生成sign

<script src="../javaScript-MD5/js/md5.js"></script>
<script>
    // # 获取所有请求的参数
    // # 签名规则
    // # 第一步 参与签名的参数不包括签名本身、不包括token
    // # 第二步 按照ASCII排序
    // # 去除多余的& 符号
    var params = new Array();
    params['id'] = 1;
    params['name'] = '张三';
    var sign = createSign(params);
    params['sign'] = sign;
    var url = 'http://pyg.com/list?'
    for (var i in params) {
        url += i + '=' + params[i] + '&';
    }
    $.ajax({
        url:url,
        dataType:'json',
        success:function (result) {
            console.log(result);
        }
    })
    function createSign(params) {
        var timestamp = Math.ceil((new Date()).getTime()/1000);
        params['timestamp'] = timestamp;
        params.sort();
        var wait_sign = ''
        for (var i in params) {
            wait_sign += i + '=' + params[i] + '&';
        }
        wait_sign = wait_sign.substr(0,wait_sign.length-1);
        console.log(wait_sign)
        sign = hex_md5(wait_sign)
        return sign;
    }
</script>


 

第二种:封装全局过滤方法

设置全局过滤方法为htmlspecialchars

[该方法会导致初始版的支付功能无法使用]

框架默认没有设置任何全局过滤规则,你可以在app\Request对象中设置filter全局过滤属性:

namespace app;
 
class Request extends \think\Request
{
    protected $filter = ['htmlspecialchars'];

}

————————————————
版权声明:本文为CSDN博主「Doc_ACwhite」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Doc_ACwhite/article/details/122924504

将心比心zy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss_remove:用于从字符串中完全删除XSS的类。 在PHP中
05-18
XSS / SQLi卸妆 用于从PHP字符串中完全删除XSS和SQLi的类。 安装 只需下载并添加到您的名称空间或库中。 用法 如果要清除简单的字符串,请使用cleanInput()函数。 $cleanString = Clean::cleanInput($dirtyString); 如果要使用各种值清洗数组,请使用cleanArray()函数。 $cleanArray = Clean::cleanArray($dirtyArray); 开发人员信息 所有方法都是静态的,因此您无需创建该类的新实例。 只需按原样使用即可。 它是安全的。 函数cleanInput($data, $addSlashes)有两个参数 $data data-要清除的已发布数据,在这种情况下为一个字符串 $addSlashes如果要使用$addSlashes ,为了提高安全性,请将其设置为TRUE ,默
jquery xss验证代码
08-13
jquery xss验证代码,以txt打开,修改http://xxx/jquery.js,保存后加载有问题的jquery,可以出现弹窗
tp5设置过滤和html过滤的2中方法区别
codipy的博客
04-27 1662
public function index() { //当前是否为关联查询 $this->relationSearch = false; //设置过滤方法 $this->request->filter(['strip_tags', 'trim']); } $this->request-&...
XSS攻击
ge_zh_hao的博客
03-01 4100
XSS攻击
学习笔记-TP5框架学习笔记进阶之Request
人饭子的博客
11-09 669
Request(5.0.18版本) 前置PHP知识:PHP中self :: 和 this-> 的用法 前置PHP知识:new static 和 new self的区别 -主要就是有继承的时候的区别 下面只列举部分重要方法 初始化和构造函数:instance和__construct public static function instance($options = []) { ...
XSS如何防范
qq_45803050的博客
11-27 8058
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
PHP防范XSS攻击
IT部落格
03-03 2724
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
php+xss防范,php如何防范xss-php教程
weixin_29825861的博客
03-20 168
php防备xss的办法有正在输入html时,加之Content Security Policy的Http Header;正在设置Cookie时,加之HttpOnly参数;测验申请的Referer参数php防备xss一、PHP间接输入html的,能够采纳如下的办法进行过滤:htmlspecialchars函数htmlentities函数HTMLPurifier.auto.php插件RemoveXss...
php之XSS防范及脚本过滤
五六碗瓶
12-27 430
Content Security Policy(CSP):CSP是一种HTTP头部,通过指定可加载的资源来源来限制页面可以加载的资源。可以在服务器端设置CSP策略。输出编码:在展示用户输入的数据时,使用适当的编码方式来防止XSS攻击。可以使用htmlspecialchars()函数或其他相关的编码函数来编码输出的内容。然而,要注意的是,没有一种方法是绝对安全的,应该综合使用多种防范措施来提高应用程序的安全性。使用Web应用程序防火墙(WAF):部署WAF可以帮助检测和防止各种类型的攻击,包括XSS攻击。
XSS防范方法
LuckXinXin的博客
03-08 154
首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以encode,避免不小心把html tag 弄出来。这一个层面做好,至少可以堵住超过一半的XSS 攻击 ...
防范XSS攻击程序
07-29
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
基于机器学习建模的 XSS 攻击防范检测.docx
05-21
基于机器学习建模的 XSS 攻击防范检测.docx
PHP和XSS跨站攻击的防范
10-30
PHP和XSS跨站攻击的防范
XSS的攻击 与防范
05-01
XSS的攻击与防范 XSS的攻击与防范
自定义filter与interceptor
圆师傅的博客
12-04 472
filter与interceptor的区别以及简单实用
TP5 变量过滤
BaoYi的博客
09-22 2320
对获取的变量进行过滤...
【杂记-浅谈XSS跨站脚本攻击】
叫我小虎就行了的博客
05-31 617
【杂记-浅谈XSS跨站脚本攻击】
xss靶场之xss.haozi
最新发布
weixin_46954909的博客
06-01 557
这题显而易见的是括号不能使用了,我们的办法是替代法和进行编码,使用`来替代()或者使用编码的方式来替代掉括号,但要注意的是,script不能解析编码,所以script标签不能用编码的方式。这题没什么好说的,就是闭合+注释,搭配上script语句就可以了,虽然将&,’”<>/\都编码了,但是这就是典型的骗自己,因为即时编码了,但在img标签里也是能解析的,所以相当于徒劳。这题我们观察到直接输入,他是在input语句的属性值中,无法执行我们的js语句,所以我们的思路也是直接闭合掉语句,执行js语句。
新型 XSS防范方法
05-19
以下是几种防范XSS攻击的方法: 1. 输入过滤:对用户输入的内容进行过滤和验证。可以使用正则表达式、HTML标签过滤等方式来过滤非法字符,从而防止恶意代码的注入。 2. 输出编码:对用户输入的内容进行编码,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值