过滤xss攻击

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量180 收藏
点赞数
分类专栏: PHP专区
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35896304/article/details/118105766
版权 
/********** Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数 start *****************/
if (!function_exists('string_remove_xss')) {
    function string_remove_xss($html) {
        preg_match_all("/\<([^\<]+)\>/is", $html, $ms);

        $searchs[] = '<';
        $replaces[] = '&lt;';
        $searchs[] = '>';
        $replaces[] = '&gt;';

        if ($ms[1]) {
            $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
            $ms[1] = array_unique($ms[1]);
            foreach ($ms[1] as $value) {
                $searchs[] = "&lt;".$value."&gt;";

                $value = str_replace('&amp;', '_uch_tmp_str_', $value);
                $value = string_htmlspecialchars($value);
                $value = str_replace('_uch_tmp_str_', '&amp;', $value);

                $value = str_replace(array('\\', '/*'), array('.', '/.'), $value);
                $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
                    'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
                    'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
                    'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
                    'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
                    'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
                    'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
                    'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
                    'onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');
                $skipstr = implode('|', $skipkeys);
                $value = preg_replace(array("/($skipstr)/i"), '.', $value);
                if (!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
                    $value = '';
                }
                $replaces[] = empty($value) ? '' : "<" . str_replace('&quot;', '"', $value) . ">";
            }
        }
        $html = str_replace($searchs, $replaces, $html);

        return $html;
    }
}

if (!function_exists('string_remove_xss')) {
    function string_htmlspecialchars($string, $flags = null){
        if (is_array($string)) {
            foreach ($string as $key => $val) {
                $string[$key] = string_htmlspecialchars($val, $flags);
            }
        } else {
            if ($flags === null) {
                $string = str_replace(array('&', '"', '<', '>'), array('&amp;', '&quot;', '&lt;', '&gt;'), $string);
                if (strpos($string, '&amp;#') !== false) {
                    $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
                }
            } else {
                if (PHP_VERSION < '5.4.0') {
                    $string = htmlspecialchars($string, $flags);
                } else {
                    if (!defined('CHARSET') || (strtolower(CHARSET) == 'utf-8')) {
                        $charset = 'UTF-8';
                    } else {
                        $charset = 'ISO-8859-1';
                    }
                    $string = htmlspecialchars($string, $flags, $charset);
                }
            }
        }

        return $string;
    }
}
/********** Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数 end *****************/

 

Mr、沈先森
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击的简单过滤和绕过
caoxinjian423的博客
09-02 3328
一、常见的XSS攻击脚本 弹窗警告 <script>alert('XSS')</script> <script>alert(document.cookie)</script> 页面嵌套 <iframe> src=http://www.baidu.comwidth=10 height=10 border=10 </iframe> 重定向 <script>window.location="http://www.b.
保姆级教学 XSS攻击过滤
m0_59206144的博客
06-07 1709
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1638
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
XSS攻击过滤处理
weixin_30302609的博客
05-02 969
关于XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS漏洞的危害 网络钓鱼,包括盗取各类用户账号; 窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; 劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; 强制弹出广告页面、刷流量等; 网页...
java 防止Xss、SQL注入攻击
负数
02-14 2498
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
过滤器防止XSS攻击
qq_34567533的博客
10-22 996
xss是钓鱼网站常用的方式,具体就是在提交的表单中加入脚本,数据在回显时浏览器执行了脚本, 具体的脚本可以是获取cookie,或者跳转至钓鱼网站; 解决方法,通过过滤器,将&lt;&gt;转义 新建filter实现类; package com.group.local.filter; import javax.servlet.*; import javax.servlet.http.Ht...
JSP Struts过滤xss攻击的解决办法
10-19
**JSP Struts过滤XSS攻击的解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击的PHP函数吧,很实用
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
5. 测试验证:确保配置生效后,进行充分的测试,包括正常输入和恶意输入,检查是否能正确过滤XSS攻击。 除了使用XSSFilter,还可以结合其他策略来增强安全性,如: - 使用HTTP头部的`Content-Security-Policy`,...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1182
将参数中有关xss攻击的非法字符全部处理掉。
对各类xss攻击手段的过滤
seastars的专栏
03-02 305
收录一下这篇文章,里面包含了各类xss的绕过方法http://ha.ckers.org/xss.html我的富文本过滤器全部可以过滤,屏蔽所有不安全的代码。 不过个别地方比较粗暴,比如flash的action script挂马,我直接禁用了embed标签的src属性css的@import,,等也直接禁用href="javascript:",css的url(java
XSS攻击防范
weixin_45221091的博客
04-21 1623
前端安全系列之XSS攻击防范 1、使用textContent 2、使用HTML转义 把JS中的标签转成字符 3、对于链接跳转 禁止含有’javascript:'开头的字符 4、标签属性中含有恶意执行代码 javascript 5、如果用户输入的文本进行过滤很容易照成注入漏洞 6、什么是XSS攻击 Cross-Site Scripting(跨站脚本攻击) 为和CSS区分所以叫XSS攻击 7、XSS攻击的本质 而已代码未经过滤,混入正常代码中,浏览器无法分辨,导致恶意代码被执行; 8、在处理输入时,
java防止xss攻击 过滤_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_42322782的博客
02-17 799
web.xml添加过滤xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter*过滤器代码package com.quickly.exception.common.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import ...
XSS攻击防御
ssslq的博客
03-08 2256
XSS攻击防御
防止XSS攻击过滤工具类
Elementary Conference
04-26 1785
public static String XSSHtmlFilt(String msg) { StringBuffer buffer = new StringBuffer(msg.length()); for (int i = 0; i < msg.length(); i++) { char c = msg.charAt(i); switch (c)
XSS攻击过滤
lg12lp12的博客
11-06 514
import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.Servl
xss攻击-面向前端的安全攻击 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 >web安全<
寻觅的博客
02-28 1310
文章目录
php xss过滤函数,PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击过滤...
weixin_29679557的博客
03-11 157
流传的移除XSS攻击的php函数 The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, check out http://h...
如何对dom对象过滤xss攻击
05-12
为了防止XSS攻击,可以在插入DOM之前对插入的内容进行过滤和转义。可以使用现有的第三方库,如DOMPurify或sanitize-html,以确保过滤掉所有非法的HTML标记和属性,并将HTML实体编码转义为安全的字符。此外,还可以使用CSP(内容安全策略)来限制页面中能够执行的脚本和资源的来源。最好的方法是将这些安全措施结合起来使用,以确保最大程度地保护您的应用程序免受XSS攻击的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值