XSS攻击

最新推荐文章于 2023-05-12 01:11:32 发布
最新推荐文章于 2023-05-12 01:11:32 发布
阅读量2.4k 收藏
点赞数 1
分类专栏: PHP 文章标签: xss 前端 安全 php sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq7027/article/details/121956339
版权
本文详细介绍了如何使用转化和过滤的思想来防范XSS(跨站脚本)攻击。对于普通输入,推荐使用PHP的htmlspecialchars函数将特殊字符转化为HTML实体。而在处理富文本编辑器内容时,建议采用htmlpurifier插件过滤掉可能的script标签和JS代码。通过配置应用程序的全局过滤方法,可以有效地保护网站免受XSS攻击。同时,文章还提供了安装和使用htmlpurifier的步骤。
摘要由CSDN通过智能技术生成

转化的思想防范xss攻击

转化的思想:将输入内容中的<>转化为html实体字符。

原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。

TP框架中,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。

设置方法:修改application/config.php

注意:在框架配置文件中,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.

'default_filter' => 'htmlspecialchars',

或在app/request文件写入(运用request依赖注入):

protected $filter=['htmlspecialchars'];         // 转义

即这个样子:

过滤的思想防范xss攻击

过滤的思想:将输入内容中的script标签js代码过滤掉。

特别在富文本编辑器中,输入的内容源代码中,包含html标签是正常的。不能使用htmlspecialchars进行处理。如果用户直接在源代码界面输入js代码,也会引起xss攻击。

 

通常使用htmlpurifier插件进行过滤。

使用步骤:

① 使用composer执行命令,安装 ezyang/htmlpurifier 扩展类库

composer require ezyang/htmlpurifier

② 在application/common.php中定义remove_xss函数

if (!function_exists('remove_xss')) {
    //使用htmlpurifier防范xss攻击
    function remove_xss($string){
        //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件
        //require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
        // 生成配置对象
        $cfg = HTMLPurifier_Config::createDefault();
        // 以下就是配置:
        $cfg -> set('Core.Encoding', 'UTF-8');
        // 设置允许使用的HTML标签
        $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
        // 设置允许出现的CSS样式属性
        $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
        // 设置a标签上是否允许使用target="_blank"
        $cfg -> set('HTML.TargetBlank', TRUE);
        // 使用配置生成过滤用的对象
        $obj = new HTMLPurifier($cfg);
        // 过滤字符串
        return $obj -> purify($string);
    }
}

说明:htmlpurifier插件,会过滤掉script标签以及标签包含的js代码。

设置全局过滤方法为封装的remove_xss函数:

修改application/config.php

'default_filter' => 'remove_xss',

或在app/request文件写入(运用request依赖注入):

protected $filter=['remove_xss'];         // 过滤

即这个样子:

 

转化与过滤结合防范xss攻击

普通输入内容,使用转化的思想进行处理。

设置全局过滤方法为封装的htmlspecialchars函数:

修改application/config.php

'default_filter' => 'htmlspecialchars',

富文本编辑器内容,使用过滤的思想进行处理。

比如商品描述字段,处理如下:

//商品添加或修改功能中
$params = input();
//单独处理商品描述字段 goods_introduce
$params['goods_desc'] = input('goods_desc', '', 'remove_xss');

媛起缘灭
关注
专栏目录
thinkphp6 过滤XSS攻击 详解
jack_qinSer的博客
12-15 634
首先使用composer执行命令 composer require ezyang/htmlpurifier 在app/common.php公共文件中定义remove_xss函数 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
ThinkPhp6防止XSS攻击
Xian_Hu的博客
12-17 696
因为 tp6 框架已经自带转化危险标签 所以我们要进行过滤掉危险标签 第一步: 安装composer安装插件来处理 composer require ezyang/htmlpurifier 第二步: 将代码放置在公共文件中 // 过滤危险标签:防SS攻击 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string) { ...
php xss过滤
NiceGY
12-16 2428
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。 下面是thinkphp里面的一段代码,用于过滤xss
【ThinkPHP】过滤函数设置
dzp443366的专栏
11-19 2381
'DEFAULT_FILTER' => 'htmlspecialchars'//设置默认过滤方法 AjaxReturn Ajax的回调函数 F() F函数用于把数组写进文件 可以用于重写配置文件
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
最新发布
04-07
PDF-XSS实例文件
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2223
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
THINKPHP 安全
张默的博客
07-08 1567
输入过滤 永远不要相信客户端提交的数据,所以对于输入数据的过滤势在必行,我们建议: 开启令牌验证避免数据的重复提交; 使用自动验证和自动完成机制进行初步过滤; 使用系统提供的I函数获取用户输入数据; 对不同的应用需求设置不同的安全过滤函数,常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等   使用I函数过...
Thinkphp6使用中间件解决跨域cors
a646639956的博客
07-22 4036
生成中间件 命令行输入 php think make:middleware Check 在最末的控制层创建文件。middleware.php和mimiddleware文件夹 一定要在最后的控制层,否则不生效 定义中间件 <?php // 全局中间件定义文件 return [ // 全局请求缓存 // \think\middleware\CheckRequestCache::class, // 多语言加载 // \think\middleware\LoadLangPa
php写网页6,thinkphp6输出原始html内容 - 旗云号
weixin_39917046的博客
03-10 3143
最近在做博客后端的时候,发现通过ueditor写的博客在前端显示的包含有html标签,后端框架使用的是thinkphp6(简称tp6),网上发现好多方法都是使用{$content|raw}方法,但是没有效果最后发现了下面的方法:{$content|htmlspecialchars_decode}处理前的效果:处理后的效果:使用raw方法不进行转义输出。TP最近升级的很是生猛,只好去翻下手册了,在模...
ThinkPHP--基础
新新新新新的博客
04-21 937
主要特性 引入容器和Facade支持 依赖注入完善和支持更多场景 重构的(对象化)路由 支持注解路由 跨域请求支持 配置和路由目录独立 取消系统常量 助手函数增强 类库别名机制 模型和数据库增强 验证类增强 模板引擎改进 支持PSR-3日志规范 中间件支持(V5.1.6+) 支持Swoole/Workerman运行(V5.1.18+) 安装 环境要求 P
ThinkPHP三大自动之 自动过滤
a393931948的专栏
03-18 2059
//你在create方法当来调用自动验证的话$_POST['username']  // 如果来判断长度的话,我是不是必须要传入一个东西进来。来进行判断。  //  那怎么知道对还是不对呢?  真或假    //它也是thinkphp当中的一个成员方法在create的时候,自动执行  //array('填充字段','填充内容','填充条件','附加规则');  //填充字段: 这个字段
TP6容易踩得坑【原创】
我的笔记
03-08 1353
这几天准备把网站的框架从tp5换成tp6,过程中遇到很多小坑,文件上传就是其中之一 首先tp6文件上传相对于tp5在实现过程来说区别还是比较大,所以想偷懒没成功。 如果原来的代码是类似这种方法上传,那么还是可以接着用,基本不用改。 $file = request()->file('pic'); $info = $file->move($path,'文件名'); 主要是在上传验证的时候区别较大。tp5文件对象就有验证方法,而tp6统一采用的是验证器验证,所以以前类似这种写法在tp6不适用
tp6内置验证规则整合
热门推荐
zhangxy
09-16 1万+
原文:https://www.kancloud.cn/manual/thinkphp6_0/1037629,因为文档太长了,这里是整理来方便自己查看的,箭头后面的单词即为定义好了的验证规则,直接调用即可,多个规则一起使用的时候使用竖线分隔“|” $info = Request::param(); //接收值 //数据验证 $validate = new Valid...
Thinkphp模板中使用default默认值输出
weixin_33875839的博客
04-01 3278
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值