XSS攻击和防范

最新推荐文章于 2021-12-13 20:06:06 发布
最新推荐文章于 2021-12-13 20:06:06 发布
阅读量380 收藏
点赞数
分类专栏: PHP

XSS又叫CSS(Cross Site Script),跨站脚本攻击。

它指的是恶意攻击者往web页面里插入恶意html代码,当用户浏览该页面时,

嵌入其中web里面的html代码会被执行,进而达到攻击的目的


PHP防范:

1,PHP直接输出html的,可以采用以下方法过滤:

  • htmlspecialchars函数,该函数会将预定义的字符"<"和">"和"&"转换成HTML实体,实体不会被浏览器识别为html代码
  • 使用自定义函数过滤预定义字符,百度RemoveXss函数
  • 适用HTMLPurifier.auto.php插件

2,php输出到js代码中的,则需要在前端js中进行过滤:
  • 使用jQuery的text来输出文本内容
  • 必须要使用innerHTML等函数,则需要用js实现php的htmlspecialchars的过滤

其他方法: 
1.在输出html时,加上Content Security Policy的Http Header

(作用:可以防止页面被XSS攻击时,嵌入第三方的脚本文件等)
(缺陷:IE或低版本的浏览器可能不支持)

2.在设置Cookie时,加上HttpOnly参数

(作用:可以防止页面被XSS攻击时,Cookie信息被盗取,可兼容至IE6)
(缺陷:网站本身的JS代码也无法操作Cookie,而且作用有限,只能保证Cookie的安全)

3.在开发API时,检验请求的Referer参数

(作用:可以在一定程度上防止CSRF攻击)
(缺陷:IE或低版本的浏览器中,Referer参数可以被伪造)

PHPxss过滤函数

function clean_xss(&$string, $low = False)
	{
		if (! is_array ( $string ))
		{
			$string = trim ( $string );
			$string = strip_tags ( $string );
			$string = htmlspecialchars ( $string );
			if ($low)
			{
				return True;
			}
			$string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
			$no = '/%0[0-8bcef]/';
			$string = preg_replace ( $no, '', $string );
			$no = '/%1[0-9a-f]/';
			$string = preg_replace ( $no, '', $string );
			$no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
			$string = preg_replace ( $no, '', $string );
			return True;
		}
		$keys = array_keys ( $string );
		foreach ( $keys as $key )
		{
			clean_xss ( $string [$key] );
		}
	}



qq_19557947
关注
专栏目录
XSS攻击防范
weixin_45221091的博客
04-21 1634
前端安全系列之XSS攻击防范 1、使用textContent 2、使用HTML转义 把JS中的标签转成字符 3、对于链接跳转 禁止含有’javascript:'开头的字符 4、标签属性中含有恶意执行代码 javascript 5、如果用户输入的文本进行过滤很容易照成注入漏洞 6、什么是XSS攻击 Cross-Site Scripting(跨站脚本攻击) 为和CSS区分所以叫XSS攻击 7、XSS攻击的本质 而已代码未经过滤,混入正常代码中,浏览器无法分辨,导致恶意代码被执行; 8、在处理输入时,
XSS防御与攻击 基础防范
jokeruan的博客
08-31 258
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 XSS攻击 XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XS
xss攻击防范
lijin_12456的博客
03-05 203
Xss又称css,全称:跨站式脚本攻击,问题出现的原因:用户在输入内容时故意输入css或者js代码使网站在加载内容时运行恶意程序造成网站无法正常运行或者恶意盗取信息 防止:1、 正则过滤特殊字符,比如< > = ‘’ 2、去除html标签 strp_tags() 3 、利用php函数特殊字符转义 htmlentities() addslashes() ...
【前端安全】浅谈XSS攻击防范
'Ablaze 的专栏
03-14 297
定义 XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 分类 大分类 小分类 原理 非存储 DOM型
xss攻击原理和防范
weixin_39944891的博客
07-17 486
XSS攻击 XSS(Cross-Site Scripting,跨站脚本)攻击历史悠久,是危害范围非常广的攻击方式。 Cross-Site Stripting的缩写本应该是CSS,但是为了避免和Cascading style sheets(层叠样式表)的缩写混淆,所以将Cross(即交叉)使用交叉形状的X表示。 攻击原理 XSS是注入攻击的一种,攻击者通过将代码注入被攻击者的网站中,用户一旦访问访问...
黑客技术----XSS攻击
weixin_42555713的博客
12-16 364
什么是XSS攻击XSS 全称是 Cross Site Scripting(即跨站脚本),为了和 CSS 区分,故叫它XSSXSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。 这些操作一般可以完成下面这些事情: 1,窃取Cookie。 2,监听用户行为,如输入账号密码后直接发送到黑客服务端。 3,修改DOM伪造登录表单。 4,在页面中生成浮窗广告。 通常...
web网站xss攻击预防
bit-cafe
11-20 1285
之前的开发中只是做业务开发,也就不会管这些,现在有机会去考虑做这些事了,也看到项目中有对xss攻击防范措施,来学习一下: 整个流程: 1、对请求参数进行处理,如果有半角符则把半角符替换为全角符。 2、对请求参数值进行处理,如果请求参数值有半角符则吧半角符替换为全角符。 实现方式: 1、在拦截器中进行拦截处理 2、实现方式是通过重写HttpServletRequestWrapper的方
PHPXSS跨站攻击的防范
10-30
### PHPXSS跨站攻击防范详解 #### 一、XSS跨站攻击概述 XSS(Cross Site Scripting)跨站脚本攻击是一种常见的安全威胁,尤其在Web应用程序中非常普遍。它允许攻击者注入恶意脚本到看似可信的网站上。当其他用户...
.net core xss攻击防御的方法
10-18
最后,在实际的Web开发中,对于XSS攻击的防御应遵循最小权限原则,即只允许用户输入必要的内容,并且对于每一个输入点都进行严格的验证和清理。同时,开发人员需要保持对安全威胁的持续关注和学习,以及时应对新出现...
Yii2的XSS攻击防范策略分析
10-21
XSS攻击防范策略是当下网络安全中的一个重要课题,而Yii2作为一款高性能的PHP框架,其内建的防范机制对于Web应用的安全起到了关键的作用。本文将详细分析Yii2框架中防止XSS攻击的策略,并探讨其原理与实施方法。 ...
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
php过滤XSS攻击的函数
01-20
下面的函数可以用来过滤用户的输入,保证输入是XSS安全的。具体如何过滤,可以参看函数内部,也有注释。复制代码 代码如下:<?phpfunction RemoveXSS($val) {     // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed     // this prevents some character re-spacing such as <java>     // note that you have to handle splits with \n, \
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
php xss过滤
NewHope, NewLife
06-21 6425
zz from: http://thinkblog.sinaapp.com/?p=72 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。 下面是thinkphp里面的一段代码,用于过滤xss ThinkPHP\Code\Thi
PHP CodeBase: 过滤XSS攻击PHP函数
weixin_34270865的博客
11-22 335
为什么80%的码农都做不了架构师?>>> ...
php中sql语句转义字符串,如何使用PHP在SQLServer中转义字符串?
weixin_31046701的博客
03-09 237
UYOUfunctionms_escape_string($data){if(!isset($data)orempty($data))return'';if(is_numeric($data))return$data;$non_displayables=array('/%0[0-8bcef]/'...
前端安全——XSS攻击与防御原理详解
qq_44197554的博客
12-13 5637
前端开发人员必备安全防范知识——XSS攻击与防御,希望大家可以认识到xss攻击的危害
php过滤xss,分享php过滤XSS攻击的函数
weixin_42509931的博客
03-11 454
分享php过滤XSS攻击的函数php过滤XSS攻击的函数是什么呢?以下是小编分享php过滤XSS攻击的函数,就跟随百分网小编一起去了解下吧,想了解更多相关信息请持续关注我们应届毕业生考试网!以下函数:过滤用户的`输入,保证输入是XSS安全的。例子:复制代码 代码示例:/*** 过滤XSS攻击* edit: www.jbxue.com*/function RemoveXSS($val) {// re...
XSS攻击详解与防范策略
"XSS跨站脚本攻击及防范" XSS(Cross-Site Scripting)是一种常见的网络...理解和防范XSS攻击对于维护网络安全至关重要,特别是对于开发和运营网站的人员来说,他们需要采取相应的安全措施来保护用户的数据和隐私。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值