使用HTMLPurifier防止跨站攻击(XSS)

最新推荐文章于 2022-11-15 14:04:47 发布
最新推荐文章于 2022-11-15 14:04:47 发布
阅读量379 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/g_hongjin/article/details/52381727
版权

  在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。

    在使用PHP开发时,可以使用htmlspecialchars将用户提交过来的数据转换使之原样显示,但是这样一来会造成一些弊端,比如用户上传的图片无法显示,html标签不会起作用,没有任何样式。解决方案就是可以使用UBB标签或者自定义标签来实现,要么就是自己写正则去过滤,但是防不胜防,并且这样在处理起来有些繁琐。下载重点介绍一个开源的HTMLPurifier,这是一个符合W3C标准的HTML过滤器,可以生成标准的HTML代码,并且有很多的自定义配置,我更关注的是可以过滤掉javascript代码,有效的防止XSS!

    闲话少说,放出简单代码示例和下载包:

  1. <?php
  2. //引入htmlPurifier去除XSS跨站攻击代码 生成安全的html代码        
  3. require_once('./htmlpurifier/library/HTMLPurifier.includes.php');
  4. $config HTMLPurifier_Config::createDefault();   //创建默认配置
  5. $purifier = new HTMLPurifier($config);   //实例化 并传入默认配置 ($config为空也可)
  6. $safedata $purifier->purify($_POST['content']); //开始过滤 返回过滤后的字符串
  7. echo '<pre>';
  8. print_r($safedata);
  9. ?>
g_hongjin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
使用HTML Purifier解决XSS问题
追逐
08-22 1141
在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。之前一直使用一个叫RemoveXSS的函数,该函数过滤得比较严格,很多html特性都过滤了,而且有bug,不修改代码使用起来很不友好,修改了却无法应对灵活的XSS攻击。  HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以
html前端跨域问题的解决方案
weixin_41883890的博客
11-15 5206
来,我们解释一下:首先通过第一个script脚本注册一个函数f,那么这个函数自然就存在了,后面使用的脚本也能用f这个函数,这个道理和你用script引入一个jquery然后后面用 $ 开始一通操作是一样的道理。但是但是前端这个时候注册了一个f函数呀,所以就会执行这个f(‘你好’),那么前端的数据也就请求回来了。首先是前端:使用ajax发送get请求,请求地址为http://127.0.0.1/api/get,由于前端页面使用file格式打开,所以在请求http协议的本机地址是会产生跨域问题。
防止XSS攻击封装
weixin_30682415的博客
08-12 372
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
TP5报错Fatal error: require(): Failed opening required
huien1995102515的博客
07-04 5872
TP5报错Fatal error: require(): Failed opening required
HTML Purifier解决XSS问题
chouyiji8502的博客
09-13 159
基本用法 默认下,使用UTF-8编码,和XHTML 1.0 Transitional文档类型. require_once '/path/to/HTMLPurifier.auto.php'; $config = HTMLPurifier_Config::createDefault(); $...
Laravel5防止XSS跨站攻击的方法
10-21
主要介绍了Laravel5防止XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS跨站攻击的相关操作技巧,需要的朋友可以参考下
PHP实现的防止跨站xss攻击代码【来自阿里云】
10-18
主要介绍了PHP实现的防止跨站xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下
PHP和XSS跨站攻击的防范
10-30
PHP和XSS跨站攻击的防范
think PHP6 sql注入 XSS攻击 CSRF攻击
amateur12的博客
12-19 1390
composer下载: composer require ezyang/htmlpurifier 此方法放入common里,作为公共函数,随时调用,用来过滤信息 //过滤 xss if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
php 绕过gpc,TinyShop SQL注入(开启GPC,绕过过滤
weixin_42104778的博客
03-24 1107
### 简要描述:之前的都是找程序员的疏忽,这个位置是绕过程序的防注入。### 详细说明:环境:GPC = On```public static function sql($str) //过滤函数{if (!get_magic_quotes_gpc()){ //gpc off 就转义,把之前那个奇葩的漏洞补了//不使用主要是因为,先有mysql的连接//$str = mysql_real_es...
解决html跨站问题
07-11 2021
 public class RequestUtils {  public static String escapeHtmlString(String input)  {   if (input == null || input.length() == 0)    return "";   char c;   StringBuffer sb = new StringBuffer(
使用HTML Purifier防止xss攻击
x_xuyuan的博客
10-14 252
下载地址:http://htmlpurifier.org/download 在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样...
PHP HTMLPurifierXSS攻击
郑宗强的博客
04-27 391
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单的非法HTML标签,从而可以防止XSS攻击HTMLPurifier项目地址:http://htmlpurifier.org 配置方法记录下来,以备工作使用! /** * * @param [type] $string [要过滤的内容] * @return ...
shiro安全框架扩展教程--如何防止可执行文件的入侵攻击
dawuafang
11-17 221
前面的教程有一章是讲解如何突破上传的,当被人通过上传功能突破的防线那就杯具了,有点hack知识的人都知道,很多攻击都是优先寻找上传的功能,因为能突破 就会剩下很多的功夫,比如hack上传了一个asp,php或者jsp文件,然后通过抓包路径获取了文件存放地址,然后直接请求就能通过这个可执行的文件获取到数据库的信息, 或者是遍历目录下载文件,寻找文件的其他漏洞以获得更高的权限,下面我就演示下简...
shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击
dawuafang
12-05 1028
很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发 脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到...
防止跨站攻击(tornado)
weixin_42694291的博客
11-12 549
为了防止XSRF,要求每一个请求必须通过一个cookie头和一个隐藏表单向页面提供令牌,这样网站才认为请求有效。 开启tornado的XSRF功能有两个步骤: 1.在实例化tornado.web.Application时传入xsrf_cookies=True参数: App = tornado.web.Application([(r'/', MainHandler),],cookie_secr...
HTML Purifier --非常好用的XSS过滤
u010128133的博客
06-27 5955
# HTML Purifier # >前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。 >使用过程虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。 >因此在此写下经理的过程以作记录,也说不定能帮助到别人 ### HTML Purifier 简介 ### [HTML Pur
jsp如何防止xss跨站脚本攻击
最新发布
06-07
JSP 可以通过以下几种方式来防止 XSS 跨站脚本攻击: 1. 输入检查和过滤:在 JSP 页面对用户输入的数据进行检查和过滤,例如过滤HTML 标签和 JavaScript 代码等。 2. 输出编码:在 JSP 页面输出变量时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值