xss攻击
什么是xss攻击?
跨站脚本攻击(Cross Site Scripting),攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
模拟过程:
添加功能中,请求参数值包含script标签js代码
添加成功之后,数据表中:
访问新增的这条数据,js代码会被浏览器解析并执行。
Xss攻击严重影响了正常用户对网站的访问。
转化的思想防范xss攻击
转化的思想:将输入内容中的<>转化为html实体字符。
原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。
TP框架中,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。
设置方法:修改application/config.php
注意:在框架配置文件中,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.
'default_filter' => 'htmlspecialchars',
注意:要么就不写,要写就写正确了,不然参数都接收不到
配置文件中改
或者请求对象中
删除之前模拟过程中添加的数据,重新进行模拟。
以添加商品分类为例(注意控制器中的对字段长度的限制)
数据表中:
特殊字符<> 已经被转化为html实体字符。
展示刚添加的数据,js被原封不动展示,不会执行。
过滤的思想防范xss攻击
过滤的思想:将输入内容中的script标签js代码过滤掉。
特别在富文本编辑器中,输入的内容源代码中,包含html标签是正常的。不能使用htmlspecialchars进行处理。如果用户直接在源代码界面输入js代码,也会引起xss攻击。
通常使用htmlpurifier插件进行过滤。
使用步骤:
①使用composer执行命令,安装 ezyang/htmlpurifier 扩展类库
项目目录下
> composer require ezyang/htmlpurifier
或者
手动下载插件包
将htmlpurifier插件包解压,将其中的library目录移动到项目中public/plugins目录,改名为htmlpurifier
②在application/common.php中定义remove_xss函数
if (!function_exists('remove_xss')) {
//使用htmlpurifier防范xss攻击
function remove_xss($string){
//相对index.php入口文件,引入HTMLPurifier.auto.php核心文件
//如果是解压的则需要用require_once composer方式不用
//require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
// 生成配置对象
$cfg = HTMLPurifier_Config::createDefault();
// 以下就是配置:
$cfg -> set('Core.Encoding', 'UTF-8');
// 设置允许使用的HTML标签
$cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
// 设置允许出现的CSS样式属性
$cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
// 设置a标签上是否允许使用target="_blank"
$cfg -> set('HTML.TargetBlank', TRUE);
// 使用配置生成过滤用的对象
$obj = new HTMLPurifier($cfg);
// 过滤字符串
return $obj -> purify($string);
}
}
说明:htmlpurifier插件,会过滤掉script标签以及标签包含的js代码。
设置全局过滤方法为封装的remove_xss函数:
修改application/config.php
'default_filter' => 'remove_xss',
重新测试,输入的内容中的script标签被过滤。
两个的区别
转化方式对于富文本内容无法进行过滤,
不过现在的普通的富文本插件肯定是已经做过前端的过滤了,过滤方式则是无论是富文本内容还是普通输入的可以进行阻止xss
转化的方式 原来的script标签还在,过滤的方式 会直接把script标签整个都移除了。
转化和过滤方式结合使用
普通输入内容,使用转化的思想进行处理。
设置全局过滤方法为封装的htmlspecialchars函数:
修改application/config.php
'default_filter' => 'htmlspecialchars',
富文本编辑器内容,使用过滤的思想进行处理。
比如商品描述字段,处理如下:
//商品添加或修改功能中
$params = input();
//单独处理商品描述字段 goods_introduce
$params['goods_desc'] = input('goods_desc', '', 'remove_xss');
全局布局注意
不要写title,不然在body里面加就无法生效了
基本的注册功能
场景:通常在使用手机号注册时需要发送短信验证码,在修改密码等敏感操作时也需要验证手机号发送短信验证码。
短信验证码的目的:验证用户的身份是否本人
在项目代码中发送短信,通常要调用第三方短信商的短信发送接口。
提供短信接口的平台:百度Apistore数据平台、聚合数据平台、京东万象等等
一般情况下,短信接口需要企业认证用户才能申请、一般都是收费的。
什么腾讯云、阿里云一般都要企业验证
以京东万象为例:个人可以购买使用
还需要个人认证。。mmp
两个函数搞定
if(!function_exists('curl_request'))
{
//使用curl函数库发送请求
function curl_request($url, $post=true, $params=[], $https=true)
{
//初始化请求
$ch = curl_init($url);
//默认是get请求。如果是post请求 设置请求方式和请求参数
if($post){
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $params);
}
//如果是https协议,禁止从服务器验证本地证书
if($https){
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
}
//发送请求,获取返回结果
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$res = curl_exec($ch);
/*if(!$res){
$msg = curl_error($ch);
dump($msg);die;
}*/
//关闭请求
curl_close($ch);
return $res;
}
}
if(!function_exists('sendmsg')){
//使用curl_request函数调用短信接口发送短信
function sendmsg($phone, $content)
{
//从配置中取出请求地址、appkey
$gateway = config('msg.gateway');
$appkey = config('msg.appkey');
//https://way.jd.com/chuangxin/dxjk?mobile=13568813957&content=【创信】你的验证码是:5873,3分钟内有效!&appkey=您申请的APPKEY
$url = $gateway . '?appkey=' . $appkey;
//get请求
/*$url .= '&mobile=' . $phone . '&content=' . $content;
$res = curl_request($url, false, [], true);*/
//post请求
$params = [
'mobile' => $phone,
'content' => $content
];
$res = curl_request($url, true, $params, true);
//处理结果
if(!$res){
return '请求发送失败';
}
//解析结果,json字符串转换成数组,true
$arr