过滤xss攻击脚本

最新推荐文章于 2021-03-10 11:12:33 发布
最新推荐文章于 2021-03-10 11:12:33 发布
阅读量101 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/houweijian/p/3945012.html
版权 
<?php 
/**
 * @blog http://www.phpddt.com
 * @param $string
 * @param $low 安全别级低
 */
function clean_xss(&$string, $low = False)
{
    if (! is_array ( $string ))
    {
        $string = trim ( $string );
        $string = strip_tags ( $string );
        $string = htmlspecialchars ( $string );
        if ($low)
        {
            return True;
        }
        $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
        $no = '/%0[0-8bcef]/';
        $string = preg_replace ( $no, '', $string );
        $no = '/%1[0-9a-f]/';
        $string = preg_replace ( $no, '', $string );
        $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
        $string = preg_replace ( $no, '', $string );
        return True;
    }
    $keys = array_keys ( $string );
    foreach ( $keys as $key )
    {
        clean_xss ( $string [$key] );
    }
}
//just a test
$str = 'phpddt.com<meta http-equiv="refresh" content="0;">';
clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
echo $str;
?>

 

转载于:https://www.cnblogs.com/houweijian/p/3945012.html

anwei9164
关注
XSS跨站脚本攻击
01-27
2. 存储型XSS攻击:又称持久性XSS,攻击者将恶意脚本存储在服务器数据库中,每当有用户访问包含这些脚本的页面时,脚本就会自动执行。这种攻击比反射型XSS更具危害,因为脚本可以连续多次执行。 3. DOM-Based XSS...
php中sql语句转义字符串,如何使用PHP在SQLServer中转义字符串?
weixin_31046701的博客
03-09 251
UYOUfunctionms_escape_string($data){if(!isset($data)orempty($data))return'';if(is_numeric($data))return$data;$non_displayables=array('/%0[0-8bcef]/'...
XSS学习笔记(五)-XSS防御
byteway的专栏
04-24 1777
只要是产生XSS的地方都是伴随着输入或者输出的,所以抓住问题的主要矛盾,问题也就有了解决的方法了:可以在输入端严格过滤,也可以在输出时候过滤,就是在从用户输入的或输出到用户的GET或POST中是否有敏感字符: 输入过滤过滤 ' " , \   客户端: 开启 XSS filter  输出过滤(转义): 转义: ' "  \ 过滤: href 模型 , window.
前端安全之xss攻击
wei_dan1129的博客
05-07 328
xss攻击获取用户cookie XSS攻击指的是攻击者往WEB页面里插入恶意html标签或者JavaScript代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后, 窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者服务器中,而不是用户原本以为信任的站点。 同源策略的限制导致无法跨域获取别人的cookie; WEB页面里插...
XSS攻击和防范
qq_19557947的专栏
09-04 390
XSS又叫CSS(Cross Site Script),跨站脚本攻击。 它指的是恶意攻击者往web页面里插入恶意html代码,当用户浏览该页面时, 嵌入其中web里面的html代码会被执行,进而达到攻击的目的 PHP防范: 1,PHP直接输出html的,可以采用以下方法过滤: htmlspecialchars函数,该函数会将预定义的字符""和"&"转换成HTML实体,实体
预防xss攻击
KeepCoding
12-26 840
常见的xss攻击有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击目的。另外一种是持久型,攻击者提交含有恶意脚本的请求并被应用保存在了数据库中。 虽然xss攻击相对来说是一种比较老的攻击手段,但是却又在不断的变化出新的攻击方式,因此对它的防范也是较复杂的,但是主要的防御手段有如下两种。 消毒 xss一般利用恶意脚本来攻击,所以输入的内容一般用户是较少使用的,所以
JSP Struts过滤xss攻击的解决办法
10-19
**JSP Struts过滤XSS攻击的解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
php过滤XSS攻击的函数
10-26
XSS攻击,全称为跨站脚本攻击(Cross-site Scripting),是一种常见的网络攻击手段,攻击者通过在网页中注入恶意脚本,窃取用户数据或者对用户进行恶意操作。在PHP中,我们可以编写特定的函数来过滤和清理用户输入,...
跨站脚本(XSS)攻击
extremecold
08-12 1万+
什么是XSS 全称:Cross Site Script(跨站脚本) 为了与层叠样式表css区分,将跨站脚本简写为XSS 危害:盗取用户信息、钓鱼、制造蠕虫等。 概念:黑客通过“HTML注入”篡改网页,插入了恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。 XSS分类 存储型 反射型 DOM型...
XSS攻击常识及常见的XSS攻击脚本汇总
热门推荐
qw_xingzhe的专栏
06-16 7万+
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。二、XSS有什么危害?当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。关于XSS有关危害,我这里中罗列...
基于机器学习的攻击检测(二)下-lstm实现
jliang3的博客
03-10 2346
基于机器学习的攻击检测(二)下-lstm实现 ReLuQ 交叉学科就像交叉特征一样有趣 1 人赞同了该文章 上一篇我们讲了一下lstm的简单结构以及正向传播的过程,那么这一期回归我们的目标,使用lstm来检测攻击 我们知道,循环神经网络的一大优势就是他能够保存一些结构化数据的序列信息并对对其作较好的理解,那么对于我们的攻击,是否也可以这样做呢? 看看我们在:基于机器学习的攻击检测(...
Asp.net安全架构之1:xss(跨站脚本
weixin_34419321的博客
05-22 392
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
XSS(跨站脚本攻击)详解
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSS: XSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
PHP的编写SQL语句时对需要转义字符的处理
ImGoTop的编程之旅
12-14 1047
1. 对于PHP magic_quotes_gpc=on的情况, 我们可以不对输入和输出数据库的字符串数据作 addslashes()和stripslashes()的操作,数据也会正常显示。 如果此时你对输入的数据作了addslashes()处理, 那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。 2. 对于PHP magic_quotes_gpc=off
学习笔记(十五):RNN识别WebShell
盐可
11-19 669
1.使用ADFA-LD数据集,逐行读取,并记录系统调用序号的最大值。 max_sequences_len=300 max_sys_call=0 def load_one_flle(filename): global max_sys_call x=[] with open(filename) as f: line=f.readline() ...
sql转义模块php,如何使用PHP在SQLServer中转义字符串?
weixin_39837124的博客
03-10 155
functionms_escape_string($data){if(!isset($data)orempty($data))return'';if(is_numeric($data))return$data;$non_displayables=array('/%0[0-8bcef]/',//urlencoded00-08,11,1...
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
XSS攻击payload脚本字典详解
资源摘要信息:"xss常见...通过分析这些脚本,可以更好地识别和防范XSS攻击,同时,开发人员也可以学习如何编写更安全的代码,避免XSS漏洞的产生。安全社区应持续关注XSS攻击的发展趋势,并及时更新防御策略和工具库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值