在 PHP Web 应用程序中防止 XSS 的最佳实践

最新推荐文章于 2024-04-15 16:56:38 发布
最新推荐文章于 2024-04-15 16:56:38 发布
阅读量330 收藏 2
点赞数
文章标签: 前端 php xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/125956236
版权

Cross-Site Scripting 是一种安全漏洞,通常发生在 Web 应用程序中,通常缩写为 XSS。如果您想知道,我们不使用缩写 CSS,因为我们在设计网页时已经将它用于级联样式表。由于 Web 浏览器的安全漏洞,XSS 最初被称为跨站点。使用 XSS,如果您在浏览器中打开了两个站点的窗口,则可以将信息/数据从一个站点传输到另一个站点。 
 

在本文中,我将向您介绍有关 XSS 的详细信息以及如何防止对您的 Web 应用程序进行 PHP XSS 攻击。

XSS 通常使用 Web 表单或超链接通过网页插入。此代码可以通过任何客户端语言使用,例如 JavaScript、PHP、HTML、VBScript。 

如今,鉴于过去 XSS 漏洞的猖獗,浏览器考虑到安全性,通常不允许信息从一个浏览器屏幕跳转到另一个浏览器屏幕。对 PHP 应用程序中的 XSS 攻击示例有完整的认识和知识也很重要,以便能够及时设置预防措施。 

XSS 漏洞的类型

XSS 攻击主要有 3 种类型。

  1. 存储型 XSS 
  2. 反射型 XSS
  3. 基于 Dom 的 XSS(文档对象模型)

存储型 XSS

存储的跨站点脚本 [XSS] 是一种非常危险的跨站点脚本形式。允许用户在数据库中存储数据的 Web 应用程序可能会受到此类攻击。

当 XSS 攻击者将恶意代码注入网站并将代码保存到数据库时,就会发生存储型 XSS。稍后,当网络用户访问该页面时,他可能会在不知不觉中检索该文件,因此脚本将在用户的浏览器中运行。

每当客户端向服务器发送HTTP请求,服务器发送HTTP响应恶意代码,因为恶意代码保存在数据库中,它会伤害客户端。这种攻击的严重性非常高。

反射型 XSS

这是一种跨站点脚本,攻击者在其中使用网站上的任何表单字段注入一些 JavaScript 代码。任何添加到浏览器的脚本都不会影响任何其他用户,否则任何其他用户都会受到伤害。

以任何搜索引擎(谷歌、必应)为例。您可以输入查询并搜索任何信息,但是如果您可以在输入字段中添加脚本并且脚本将执行任何功能会发生什么?也许它需要用户的凭据,它需要 cookie 信息。如果您拥有与任何其他用户类似的 cookie,您可以在浏览器中访问他们的所有数据,因为您在恶意搜索框中进行了搜索。

基于 DOM 的 XSS

DOM 代表文档对象模型。在这种类型的攻击中,攻击者通过任何输入字段将 JavaScript 代码注入 HTML DOM。 

DOM XSS 与存储和反射型 XSS 没有太大区别,后者可以注入脚本,在后台执行有效负载并对 DOM 注册进行进一步更改。这是在客户端完成的,因此它不会寻找服务器响应,因此很容易执行 DOM XSS。 

当恶意脚本被传递到 URL 并且客户端脚本读取它以修改 DOM 时,可能会发生这种情况。

那么现在的问题是我们如何区分普通 XSS 和 DOM XSS?唯一的区别是负载不会反映在 Web 应用程序的源代码中。

XSS 背后的原因

由于网站应用程序开发中的错误,XSS 通常很容易执行和创建。这使得攻击者很容易利用,因为一旦攻击者了解到应用程序的弱点,只需将一些 JavaScript 或其他代码粘贴到输入文本区域中就相对容易。毕竟,为什么不呢?它运行代码。它运行错误的代码。这不是任何人的错,但 Web 开发人员的代码甚至一开始就被允许提交。 

在创建带有输入字段的网页时,您应该考虑数据验证或限制。

XSS 可能造成的损失

XSS 允许攻击者将一系列恶意脚本插入网站,然后他们可以使用这些脚本窃取用户的 cookie,甚至访问他们的登录凭据、信用卡详细信息或任何有用的信息。

跨站点脚本创建的风险比您预期的要高,因为它不仅允许攻击者获取用户数据和信息,这是许多其他漏洞在此攻击中旨在实现的:使用 XSS 有一个附加功能: 攻击者在网站上犯下这些罪行,在用户看来,这些网站应该是完全值得信赖的,所以他们不必担心这种盗窃行为的发生,也不必考虑戴上眼罩。

如何防止 PHP XSS 攻击

您可以为 PHP 应用程序上的 XSS 保护做几件事。你能做的最好的事情之一就是确保你知道你在点击什么。不要点击收件箱中的未知链接,也不要点击短信或社交帐户收件箱中收到的链接。 

始终知道该链接会将您带到哪里(检查 URL 中的路径)。您可能需要考虑从输入字段中禁用脚本,或者确保在点击提交之前验证输入。最终用户应该无法在您的应用中保存脚本或安装脚本。如果你能阻止代码被执行,那么你就知道站点脚本攻击是行不通的。

确保您的网络浏览器和其他基于网络的应用程序在您的系统上保持更新。由于许多旧版浏览器存在允许站点访问 XSS 脚本的漏洞,因此您必须更新浏览器以确保您领先于最新的可能错误和漏洞。

在 PHP 中防止 XSS

以下是我们可以在 Web 应用程序中防止 XSS 的一些方法 -

  • htmlspecialchars — 将特殊字符转换为 HTML 实体。这是防止 XSS 的著名方法之一:
    • < (小于) <
    • (大于)>
    • &(和号)&
  • Strip_tags — 从字符串中去除 HTML 和 PHP 标记。此函数尝试返回一个字符串,其中包含从给定字符串中删除的所有 NULL 字节、HTML 和 PHP 标记。
  • Style-src — 限制 CSS 文件的来源。
  • Connect-src — 指令限制可以使用脚本接口加载的 URL。这有助于防范 PHP 应用程序上的跨站点脚本攻击 (XSS),

第三方 PHP 库

还有第三方PHP 库可以帮助预防 XSS。下面列出了其中一些:

  • PHP 反 XSS
  • HTML 净化器
  • 合法的

其中,PHP Purifier 经常维护和更新。一旦开发人员具备基本的 PHP 知识,使用起来就非常简单。

结论

跨站点脚本是一种通用攻击。它可用于窃取非常敏感的信息,例如用户凭据、cookie 和具有商业价值的数据。 

我们应该尽量不要插入用户控制的数据,除非应用程序明确需要它才能运行。 评论可能是用户可以输入导致恶意 XSS 的脚本的最佳示例。 

部署 PHP Web 应用程序之前,尝试创建一些测试用例并对您的 Web 应用程序执行一些渗透测试,以查找和修复攻击者可能在您的应用程序中利用的PHP 安全漏洞。

如果您需要我添加任何其他 PHP XSS 预防技巧,请在下面的评论部分告诉我。

allway2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨站脚本漏洞(XSS)基础讲解(php处理防止XSS攻击类)
chenpeng0708的博客
04-14 1545
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代,当用户浏览该页之时,嵌入其Web里面的Script代会被执...
xss,sql注入,csrf--个人整理
期待的博客
10-12 472
1、   SQL注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。      首先让我们了解什么时候可能发生SQL 注入
Web应用程序XSS攻击的检测:一种机器学习方法-研究论文
05-20
随着互联网使用的增加,Web应用程序和网站变得越来越普遍。 随着使用的增加,对Web应用程序和网站的网络攻击也在增加。 在Web应用程序和网站上的所有不同类型的网络攻击XSS(跨站点脚本)攻击是最常见的攻击形式之一。 XSS攻击是Web安全的一个主要问题,在OWASP(开放Web应用程序安全性项目)的前10名排名第二。Web应用程序安全风险抵御XSS攻击的传统方法包括基于硬件和软件的Web应用程序防火墙,其大多数它们是基于规则和签名的。 通过模糊攻击负载,可以绕过基于规则和基于签名的Web应用程序防火墙。 因此,基于规则和基于签名的Web应用程序防火墙无法有效地检测针对绕过Web应用程序防火墙的有效负载的XSS攻击。 本文旨在使用机器学习来使用各种ML(机器学习)算法来检测XSS攻击,并比较算法在检测Web应用程序和网站XSS攻击方面的性能。
如何在 PHP 防止 XSS
allway2的博客
07-24 1998
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分,我没有讨论属性问题,我已经在其他框架讨论过。这三种类型的最大区别在于,在存储的XSS,用户数据保存在数据库,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
SpringCloud gateway 防止XSS漏洞
qq_20236937的博客
01-31 1434
此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。存储型XSS:存储型XSS,持久化,代是存储在服务器的,如在个人信息或发表文章等地方,插入代,如果没有过滤或过滤不严,那么这些代将储存到服务器,用户访问该页面的时候触发代执行。DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS
前端安全防护:XSS、CSRF攻防策略与实战
最新发布
zevjay的博客
04-15 867
前端安全防护是每一位开发者不容忽视的责任。通过深入理解XSS与CSRF攻击原理,结合输入验证、输出编、启用CSP、使用Anti-CSRF Tokens、配置SameSite Cookie属性和强制HTTPS等策略,我们可以有效抵御这两种常见攻击,保障用户数据安全和网站稳定性。作为博主,我将持续分享前端安全领域的知识与实践经验,助力广大开发者共建更安全的网络环境。
【转】XSS跨站脚本攻击原理及防护方法
wanggp
11-07 390
摘要 XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html 代,当用户浏览该页之时,嵌入其Web 里面的html 代会被执行,从而达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。 原理 XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、&lt;IMG&gt;、&lt;IFRAME&...
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代,当用户浏览该页之时,嵌入其Web里面的Script代会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
thinkphp等框架开发容易忽略的xss攻击及应对XSS攻击方法
小刚刚技术博客
08-17 2184
虽然说现在的web开发框架都是挺成熟的框架,在性能、安全等方面都有比较好的表现,但问题往往出现在业务逻辑上,如上周我再公司发现的一个跨站脚本攻击,(通常公司是这么过滤的,max(0,$_GET[‘a’])、strip_tags($_GET[‘a’]),然而代量大的话,就容易出现忽略的地方) 如下面一段代: JavaScript <script> (function(){ var a = {:$_GET['b']}; //.... })() </script> 如果把接收
调查:XSS攻击Web应用程序-研究论文
05-20
尽管采用了安全的编技术并使用了漏洞检测工具,但XSS仍保留在许多Web应用程序,因为该方法非常复杂,方法的实现不正确,缺乏漏洞知识。 在本文,我们调查了XSS攻击,预防基于存储的XSS和基于DOM的XSS的原因和...
Web应用安全:简单XSS测试脚本(实验).docx
06-19
简单XSS测试脚本 一、实验目的 了解XSS的有关知识; 了解XSS的实际操作; 了解XSS的攻击原理。 二、实验内容 在主机上搭建pikachu站点; 在站点上进行简单XSS测试脚本。 三、实验内容与步骤 在主机上搭建pikachu站点...
Web应用进行XSS漏洞测试
03-03
WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
PHP防止xss攻击
yang_ldgd的博客
08-16 569
phpxss攻击
php 防护xss,PHP的防御XSS注入的终极解决方案
weixin_42547431的博客
03-10 530
PHP的防御XSS注入的终极解决方案【信息安全】【Hack】一:PHP直接输出html的,可以采用以下的方法进行过滤:1.htmlspecialchars函数2.htmlentities函数3.HTMLPurifier.auto.php插件4.RemoveXss函数(百度可以查到)二:PHP输出到JS代,或者开发Json API的,则需要前端在JS进行过滤:1.尽量使用innerText(I...
php防乱header头,防范xss恶意攻击PHP_header头设置
weixin_39895167的博客
03-18 325
xss攻击:cross site scripting加上这些header头,可以防止xss攻击if(!headers_sent()){header('X-Frame-Options:SAMEORIGIN');header('X-XSS-Protection:1;mode=block');header('X-Content-Type-Options:nosniff');}X-Frame-...
PHP如何防止XSS攻击
qq_37913859的博客
07-07 447
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars(string,ENTQUOTES).
PHP防范XSS攻击
IT部落格
03-03 2692
定义 XSS(Cross Site Scripting)攻击,文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面插入一些恶意的javascript或HTML代,当用户浏览该页面的时候,嵌入到web页面的javascript/HTML代会被执行,从而达到攻击目的。 一个简单的例子就是网页的评论功能,用户编写一段javascript代(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
PHP网页xss攻击测试用例,PHP web项目进行XSS漏洞测试存在的问题
weixin_32058239的博客
03-22 171
概念:跨站脚本攻击(XSS)是指恶意攻击者往Web页面里插入恶意Script代,当用户浏览该页之时,嵌入其Web里面的Script代会被执行,从而达到恶意攻击用户的目的。XSS漏洞通常是通过php的输出函数将javascript代输出到html页面,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。我们可以将其分成三类:(1)反射型XSS: 攻击者事先制作好攻击链...
web测试 xss最佳实践
05-18
以下是一些Web应用程序测试XSS攻击的最佳实践: 1.输入验证: 确保所有输入都被验证和过滤,特别是在表单输入和URL参数。 2.输出编: 使用适当的编技术来确保将任何用户提供的数据呈现在页面上时都进行了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值