一个phper 预防xss攻击的基本手段

最新推荐文章于 2022-03-04 11:14:34 发布
置顶 最新推荐文章于 2022-03-04 11:14:34 发布
阅读量1k 收藏
点赞数 1
分类专栏: php safe 文章标签: PHP html js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myphpnotes/article/details/12970879
版权
php 同时被 2 个专栏收录
21 篇文章 0 订阅
订阅专栏
safe
4 篇文章 0 订阅
订阅专栏

xss的本质 html注入 

xss  cross site script

1,反射性xss  No-persistent XXS

2,存储型xss   persisitent XXS

3,Dom Based XSS   改变dom节点

参加的xss payload  发起cookie劫持伪造post get

phper 我们可以做得基本防御

1,绝大部分浏览器紧张js 访问HttpOnly 属性的cookie

如:

<?php
header("set-cookie:cookie1=test1");
header("set-cookie:cookie1=test1;httponly",false);
?>
<script>
alert(document.cookie);
</script>
只会 显示 cookie=test1

对于php5 setcookie("abc","test",null,null.null,null.null,TURE);//最后一个参数


2,检查输入,检查输出(富文本编辑器)

用htmltntities() ,htmlspecialchars()处理 !

对于输入多使用白名单原则来做判断

同时在js代码中用  JavascriptEncode做转码处理





蓝山小智
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel5中防止XSS跨站攻击的方法
10-21
主要介绍了Laravel5中防止XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS跨站攻击的相关操作技巧,需要的朋友可以参考下
PHPer一个PHPer的升级之路
02-04
PHP开发知识结构目录顺序:基础=>进阶=>原理=>架构=>业务=>软技能开发工具编辑器和IDE -服务器组件 *调试工具版本管理 / /亚MySQL的 雷迪斯 Markdown写作云盘百度云坚果云环境建造编程语言前置:CSS / ...
Laravel防范xss攻击
Sumshine12.5
04-10 2873
XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 解决办法:永远不要信任用户提交得数据。 这里我们通过HTMLPuifier for Laravel 对用户提交的内容过滤 安装HTMLPurifi...
【转】Laravel 防止XSS攻击
范特西的博客
01-16 8315
目前我们的项目中存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用
laravel8 防止XSS攻击 预防处理方案
孤单的时候狗作陪!的博客
03-04 534
内容摘自Laravel XSS: Examples and Prevention (stackhawk.com) 1.新建中间件 php artisan make:middleware XSS 2.在中间件中添加以下内容 public function handle(Request $request, Closure $next) { $userInput = $request->all(); array_walk_recursive($userIn
一个phper 预防csrf攻击的技巧
myphpnotes
10-23 780
csrf  ,cross site  request forgery  跨站点请求伪造 很多时候用“token”方法来达到防御的效果。 csrf的本质原因是 重要操作的所有参数都是可以被攻击者猜测到的  所以我们建立token来使得请求不能够被完全猜测到 在这里  可以建立token类 ,eg   http://www.wikihow.com/Prevent-Cross-Site-Re
DuckPhp一个 PHP 框架 回归 PHPer 的简单化
最新发布
06-01
一、教程 快速入门 ,快速入门页面。 文档索引页 ,所有文档索引页面,所有文档的集合入口 直接运行演示 cd template php ./duckphp-project run Composer 安装 composer require dvaknheo/duckphp # 用 require ./...
PHP小技巧搜集,每个PHPer都来露一手
12-17
我先说几个: 1,假如你使用echo输出一个简单的语句,类似与: 复制代码 代码如下:<?php echo “Hello World!”; ?> 那么你可以偷懒一下,写成这样: <?=”Hello World!”;?> 2,str_replace()可以...
11个PHPer必须要了解的编程规范
12-18
【编程规范】是每个程序员,特别是PHPer,都需要掌握的核心技能之一。良好的编程规范不仅可以提升代码质量,提高团队协作效率,还能使代码更易于维护和理解。以下将详细阐述11个PHPer需要了解的编程规范: 1. **...
XSS创建PHP文件,如何在laravel 5中创建用于XSS防御的中间件?
weixin_33399354的博客
03-19 111
XSS(跨站点脚本)防御可以说是在站点中必须使用的,如果不使用XSS防御,那么你的站点就极其不安全。XSS过滤器可以从输入值中删除html标记,所以为了安全起见,删除html标记非常重要。在laravel 5.2中,可以通过在项目中使用中间件概念来实现。下面我就给大家介绍如何在laravel应用程序中创建XSS过滤中间件。首先启动以下命令并创建中间件:创建中间件php artisan make:m...
如何预防 XSS 攻击?
彳亍
09-04 4050
简介XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。 原理是攻击者往 web 页面里插入恶意的脚本代码(CSS代码、JavaScript代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。如盗取用户cookie,破坏页面结构、重定向到其他网站等。理论上来说,web 页面中所有可由用户输入的地方,如果没有对输...
laravel防止XSS攻击(中间件使用)
huangfenhu的博客
03-14 1504
首先,创建中间件: php artisan make:middleware XSS 其次,修改app/Http/Middleware/XSS.php文件: XSS.php namespace App\Http\Middleware; use Closure; use Illuminate\Http\Request; class XSS { public function handle(Re...
防止一句话木马,php禁用eval函数
myphpnotes
01-13 9528
eval()针对php安全来说具有很大的杀伤力,一般不用的情况下,为了防止 这样的一句话木马,需要禁止掉的. 网上好多说使用disable_functions禁止掉eval 是错误的 其实eval() 是无法用php.ini中的disable_functions禁止掉的  because eval() is a language construct and not a function
我的网络攻防小结,附攻击实例(随笔)
myphpnotes
11-26 4627
我的网络攻防小结,附攻击实例(随笔)
php回溯算法解决n皇后问题
myphpnotes
12-25 2031
php回溯算法解决n皇后问题 回溯法的基本做法是搜索,或是一种组织得井井有条的,能避免不必要搜索的穷举式搜索法。这种方法适用于解一些组合数相当大的问题。 回溯法在问题的解空间树中,按深度优先策略,从根结点出发搜索解空间树。算法搜索至解空间树的任意一点时,先判断该结点是否包含问题的解。如果肯定不包含,则跳过对该结点为根的子树的搜索,逐层向其祖先结点回溯;否则,进入该子树,继续按深度优先策略搜索。 回溯法指导思想——走不通,就掉头。设计过程:确定问题的解空间;确定结点的扩展规则;搜索。
贪婪算法之背包问题求解 (php 版)
myphpnotes
11-26 1440
贪婪算法之背包问题求解 (php 版)
mysql远程连接问题
myphpnotes
10-21 1276
安装完之后成 使用 mysql admin连接报错  ERROR 1130: Host ***.***.***.*** is not allowed to connect to this MySQL server  以下百度查到的,试过可以  说明所连接的用户帐号没有远程连接的权限,只能在本机(localhost)登录。  需更改 mysql 数据库里的 user表里的 hos
一个点击旋转的svg
04-14
以下是一个简单的例子: ```html svg { animation: rotate 2s linear infinite; } @keyframes rotate { 0% { transform: rotate(0deg); } 100% { transform: rotate(360deg); } } ``` 将以上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值