1.原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。
2.过滤的思想:将输入内容中的script标签js代码过滤掉。
特别在富文本编辑器中,输入的内容源代码中,包含html标签是正常的。不能使用htmlspecialchars进行处理。如果用户直接在源代码界面输入js代码,也会引起xss攻击。
通常使用htmlpurifier插件进行过滤
说明:htmlpurifier插件,会过滤掉script标签以及标签包含的js代码。
3.普通输入内容,使用htmlspecialchars函数进行处理。
富文本编辑器内容,使用过滤的思想进行处理。