PHP 防止xss攻击

最新推荐文章于 2024-04-25 15:55:39 发布
最新推荐文章于 2024-04-25 15:55:39 发布
阅读量479 收藏
点赞数 2
分类专栏: php......
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42346921/article/details/86564450
版权

一、什么是xss攻击?

  XSS攻击全称跨站脚本攻击,是为不合层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

   XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,骇客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

XSS攻击的危害包括

1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

二、PHP是如何预防xss攻击的

  xss攻击的方式有很多种,用php去处理这些攻击方式也是多种多样。

方法一:

  利用php的一些内置函数来处理攻击语句(htmlspecialchars(),htmlentities()...)

  htmlspecialchars($string); //会把$string代码中的特殊字符转译成HTML实体

  htmlentities($string, ENT_COMPAT); //默认,仅编码双引号.

  htmlentities($string, ENT_QUOTES); //编码双引号和单引号.

  htmlentities($string, ENT_NOQUOTES); //不编码任何引号.

  strip_tags($string); //这个函数可以除去字符串中HTML和PHP标签,仅仅保留参数中指定的标签.例如 strip_tags($string, '<a>') //    只允许a标签.

 

方法二:

  设置httponly

  一个是在php.ini中 设置 :  session.cookie_httponly = 

<?php
    ini_set("session.cookie_httponly", 1);
    //或 session session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
    //用函数来设置
    //setcookie();setrawcookie();

 

  方法三:

  用封装好的正则去处理

function xss_clean($data){

 $data=str_replace(array('&amp;','&lt;','&gt;'),array('&amp;amp;','&amp;lt;','&amp;gt;'),$data);
 $data=preg_replace('/(&#*\w+)[\x00-\x20]+;/u','$1;',$data);
 $data=preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data);
 $data=html_entity_decode($data,ENT_COMPAT,'UTF-8');
 // Remove any attribute starting with "on" or xmlns
 $data=preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu','$1>',$data);
 // Remove javascript: and vbscript: protocols
 $data=preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2nojavascript...',$data);
 $data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2novbscript...',$data);
 $data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u','$1=$2nomozbinding...',$data);
 // Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
 $data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i','$1>',$data);
 $data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i','$1>',$data);
 $data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu','$1>',$data);
 // Remove namespaced elements (we do not need them)
 $data=preg_replace('#</*\w+:\w[^>]*+>#i','',$data);
 // http://www.111cn.net/
 do{// Remove really unwanted tags
  $old_data=$data;
  $data=preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i','',$data);
 }while($old_data!==$data);
 // we are done...
 return $data;
}

 

infinite001
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP如何防止XSS攻击XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
PHP实现的防止跨站和xss攻击代码【来自阿里云】
10-18
主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下
如何在 PHP防止 XSS
allway2的博客
07-24 2075
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1900
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
PHP中如何防范跨站脚本攻击(XSS)?有哪些防护措施?
最新发布
aronSandy的博客
04-25 1027
通过综合运用这些措施,可以显著降低XSS攻击的风险,并提升应用程序的整体安全性。攻击者将恶意脚本注入到用户提交的表单字段、URL参数或其他可编辑的内容中,当用户访问被污染的页面时,恶意脚本将在用户的浏览器中执行。例如,设置Content-Security-Policy(CSP)响应头可以限制页面中允许加载的外部资源,从而防止恶意脚本的注入和执行。同时,使用PHP的内置函数(如htmlspecialchars()、strip_tags()等)对输入数据进行过滤,可以转义或删除可能引发XSS攻击的字符和标签。
xss php 转义_php 过滤存储型XSS攻击
weixin_35762215的博客
03-09 134
最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" οnclick=alert(1)>也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的;后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法//过滤存储型XSS攻击//过滤存储型XSS攻击public function safe_filter(&...
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 591
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
Laravel5中防止XSS跨站攻击的方法
01-20
本文实例讲述了Laravel5中防止XSS跨站攻击的方法。分享给大家供大家参考,具体如下: Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、...
php_XSS防攻击插件
05-29
php编辑器或者文本域获取js传值 js写入防止被攻击XSS;有demo使用手册
PHP如何防止XSS攻击XSS攻击原理
Daisy的博客
10-10 1374
转载至:https://mp.weixin.qq.com/s/jRuchaDBHpXxkjZh31F5vA XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这...
PHP防止SQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:php防止SQL注入的最佳解决方法php防止
PHP防止SQL注入和XSS攻击
听海Movie的专栏
09-15 6503
PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤, 这样可以防止Xss,注意中文要写出htmlentities($name, ENT_NOQUOTES, GB2312)    mysql_real_escape_string()  所以SQL语句如果有类似这样的写法: “select * from cdr where src =”.$u
php面试题怎么防止xss攻击,php如何防止xss攻击
weixin_32277761的博客
03-13 168
php防止xss跨站脚本攻击的方法,是针对非法的html代码包括单双引号,使用htmlspecialchar()函数。在使用htmlspecialchar()的时候注意第二个参数,直接用htmlspecialchar($string)的话,第二个参数默认是ENT_COMPAT,函数只是转义双引号,不转义单引号。所以使用htmlspecialchar函数时尽量加上第二个参数,htmlspecialc...
PHP 预防CSRF、XSS、SQL注入攻击
代码的搬运工
07-04 2472
1.服务端进行CSRF防御服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。(1).Cookie Hashing(所有表单都包含同一个伪随机值):这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了(2).验证码  这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄....这个方...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
整理php防注入和XSS攻击通用过滤 很萌很暴力
牛奔的博客
05-23 7220
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1....
php防止xss攻击
u013695932的博客
05-09 286
<?PHP function clean_xss(&$string, $low = False) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) { return True; ...
php XSS攻击原理与防御
春天的熊的博客
11-23 3630
数据安全是软件设计中要考虑的问题,在程序中保持数据的安全,除了保证代码内部运行的可靠,最主要就是严格控制外部数据,秉持一切用户输入的都是不可靠的原则,做好数据的验证和过滤.PHP最简单的过滤机制就是转义,对用户的输入和输出进行转义和过滤.我们先搞一个例子: 下面是一个很简单的表单 <form action="" method="post"> 留言:<textarea name
php写一个防止xss攻击
05-19
PHP 中,可以通过使用 htmlspecialchars() 函数来防止 XSS 攻击。该函数将特殊字符转换为 HTML 实体,从而使其无法被浏览器识别为代码。以下是一个示例: ```php // 获取用户输入 $input = $_POST['input']; // 防止 XSS 攻击 $escaped_input = htmlspecialchars($input, ENT_QUOTES, 'UTF-8'); // 输出转义后的结果 echo $escaped_input; ``` 在上面的示例中,我们首先获取用户输入,并将其存储在 `$input` 变量中。然后,我们使用 `htmlspecialchars()` 函数将 `$input` 转换为 HTML 实体,并将结果存储在 `$escaped_input` 变量中。最后,我们输出转义后的结果。 在 `htmlspecialchars()` 函数中,第一个参数是要转义的字符串,第二个参数指定要转义的字符集(这里使用 UTF-8),第三个参数指定如何处理引号(ENT_QUOTES 表示将单引号和双引号都转义)。 需要注意的是,仅仅使用 `htmlspecialchars()` 函数并不能完全防止 XSS 攻击。还需要注意其他安全问题,例如 SQL 注入攻击、文件包含漏洞等。为了保证网站的安全,建议使用安全编码规范,例如 OWASP Top Ten 安全风险清单中提到的最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值