ThinkPHP6 预防XSS攻击的一点小建议

已于 2022-07-22 18:05:18 修改
阅读量619 收藏 4
点赞数
分类专栏: ThinkPHP 文章标签: xss php 前端
于 2022-07-22 16:32:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011415782/article/details/125934330
版权

  • 背景

    前几天,我们线上项目,出现一些恶意攻击行为;
    基本就是恶意用户在一些接口开放的参数上,
    填写了类似 <script>alert('搞事情');</script> 的代码,从而影响网站的正常访问

  • 分析

    这是典型的 XSS 攻击行为
    最简单的处理方式,就是过滤处理请求参数
    比如,替换掉 "<script>"、"<img>" 标签等
    或者在请求类中 添加过滤方式:htmlspecialchars

概念了解: 【什么是XSS攻击?如何防范XSS攻击?】【XSS攻击介绍(一)】

解决方案

  • 第 ① 种简单方式(不建议,可能造成很多字符转义,影响代码处理逻辑):

在请求处理类文件 app\Request.php 中,添加 htmlspecialchars 过滤方式

效果:htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

  • 第 ② 种方式(推荐):

找到框架文件 vendor/topthink/framework/src/think/Request.php 的方法 filterValue(), 添加过滤代码

//代码
$value = preg_replace("/<(\/?script.*?)>/si","",$value);

效果:会替换掉 <script >...</script> 两边的标签,类似微博过滤效果

moTzxx
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP2.x防范XSS跨站攻击的方法
12-19
本文实例讲述了ThinkPHP2.x防范XSS跨站攻击的方法。分享给大家供大家参考。具体如下: 一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下。 原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script。 原理: http://ask.lenovo.com.cn/index.php?s=1<body+onload=alert(1)> 其中m的值是一个不存在的module,同时是一个完全的script,在异常错误页面中被执行实现XSS跨站攻击。 防范方法: 找到异常错误页面模板ThinkExcepti
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1658
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
模板变量及模板过滤器
xiaogeldx的博客
02-19 212
模板路径总结 django框架查找模板有顺序 在配置文件settings.py中找到TEMPLATES设置来配置 模板路径设置 模板路径设置的两种方案 DIRS定义一个目录列表,模板引擎按列表顺序搜索这些目录以查找模板源文件,将templates放在主项目目录下,在templates中再建每个app名的文件夹,所有app的模板放在对应的app文件夹中,一般用这种 在每个app文件夹里有自己...
tp中如何防止mysql注入_thinkphp如何防止sql注入xss攻击
weixin_42327688的博客
01-19 1586
SQL注入简介SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一...
HTML 事件
weixin_30325487的博客
02-11 178
1、HTML 全局事件属性   HTML4 的新特性之一就是可以使 HTML 事件触发浏览器中的行为,比方说当用户点击某个 HTML 元素时启动一段 JavaScript,在 HTML5 中还增加了一些新的事件属性。   HTML 事件就是发生在 HTML 元素上的事情。当在 HTML 页面中使用 JavaScript 时, JavaScript 就可以触发这些事件。HTML 事件可以是浏览器...
tp6防范xss攻击的几种方法
qq_63530862的博客
03-13 726
第一种:使用PHP的内置函数----->htmlspecialchars() public function script(){ $data = \request()->get('name'); //第一种直接使用PHP内置函数 $data = htmlspecialchars($data); echo $data; } 第二种:在tp6框架中找到:app/Request.php 设置全局的过滤信息 // 应用请求
把预定义的 HTML 实体转换为字符的函数:htmlspecialchars_decode,以及在ThinkPHP的使用方法
桃花岛主的博客
01-15 2330
htmlspecialchars_decode 可以把预定义的 HTML 实体转换为字符 比如: &amp;amp; 解码成 &amp; (和号) &amp;quot; 解码成 " (双引号) ' 解码成 ' (单引号) &amp;lt; 解码成 &lt; (小于) &amp;gt; 解码成 &gt; (大于) 在ThinkPHP中,如果使用了Create方法,则已经对数据进行安全处理了,c...
thinkphp6 防范xss攻击
qq_61302398的博客
01-16 1533
转化的思想防范xss攻击 转化的思想:将输入内容中的<>转化为html实体字符。 原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。 TP框架中,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。 设置方法:修改application/config.php 注意:在框架配置文件中,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.
thinkphp htmlspecialchars_decode
weixin_30512089的博客
07-01 520
一 百度编辑器 与htmlspecialchars_decode *Thinkphp百度编辑器 存的时候为了安全把进行了字符转换,数据库:&lt;p&gt;&amp;nbsp;测试测试&lt;/p&gt;&lt;p&gt;&lt;br/&gt;&lt;/p&gt; 问题: <div&g...
ThinkPHP6.pdf
06-03
Thinkphp6入门到实战
thinkPHP6接口编写示例
最新发布
12-26
thinkPHP6接口,小程序商城接口,后台管理接口,商品添加接口,权限检测等
moTzxx-CMS —— [一个基于PHP代码的后台管理系统(ThinkPHP5.1.40)]
热门推荐
u011415782的专栏
02-12 3万+
近期使用 LayUI 的过程中,越发觉得对方的设计理念符合我的审美,主要是后台开发者使用简单;而另一方面,想到作为一名 PHPer 却一直没有一套属于自己的后台管理系统,所以决定花费一些时间,在借鉴官方文档和其他开发者设计思路的前提下,打造一个属于自己的后台管理系统......
ThinkPHP5.1+ 验证码功能实现
u011415782的专栏
08-18 2万+
背景ThinkPHP5.0 已经很久了,最近有所接触,下面介绍一下常用的第三方验证码功能的使用。功能开发1).引入第三方扩展包进行 TP5 的开发,Composer 的使用会成为重要技能 以windows为例子,输入命令:composer require topthink/think-captcha完成上述操作,会在以下目录中出现 captcha 的扩展包..\vendor\topthink\th
ThinkPHP5 对html页面中的url传参操作
u011415782的专栏
01-25 2万+
◆ 背景 毕竟PHP开发的框架多数都会和前端页面嵌套使用,而不同的框架升级多少都会有所变化,这毕竟是其中的一个知识点吧,在我找不到方法前,考虑的是隐藏域提交“ID”,然后后台post处理取出此ID,再依次为依据进行后续操作… 框架:ThinkPHP5.1 路由配置举例:【有参数的一种】 Route::any('cms/article/edit/:id','cms/artic
ThinkPHP 5.0/5.1 自定义404界面的配置
u011415782的专栏
01-18 1万+
★ 背景 还要啥背景,就是觉得不可能用框架自带的 404 界面呗. 可能跟之前的版本配置方法有点区别,在此做一下简单的笔记 框架:ThinkPHP 5.1 ★ 配置过程 ♩. 修改 config.app 文件 第一,需要关闭调试模式 // 应用调试模式 'app_debug' =&amp;gt; false, 一般在项目的开
后台 配置页面功能设计
u011415782的专栏
05-19 1万+
每个网站开发中,多多少少会需要一些默认的配置项,相对而言一条条的手动添加是极为繁琐的,要分类各种图片、文字、文件、单选、多选按钮等,在此提供一种设计思路,记不清从哪里参考而来的,个人认为比较方便,也有很大的扩展性...
thinkphp6 小程序 diy布局
09-22
thinkphp6 小程序 diy布局是在thinkphp6框架基础上开发的一款支持自定义布局的小程序。它具有以下特点和优势。 首先,thinkphp6 小程序 diy布局提供了丰富的布局模板和组件库,用户可以根据需求选择合适的模板和组件。这些模板和组件都经过精心设计和优化,具有良好的视觉效果和用户体验,能够满足用户对于小程序布局的各种需求。 其次,thinkphp6 小程序 diy布局支持自定义布局。用户可以灵活地调整页面布局,包括添加、删除、拖拽组件,设置组件属性等。用户只需要简单的操作,就可以实现自己想要的页面布局效果,无需编写复杂的代码,提高了开发效率和体验。 另外,thinkphp6 小程序 diy布局具有良好的兼容性。它基于最新的微信小程序开发框架开发,能够兼容各种小程序平台,包括iOS和Android系统。用户可以在不同的平台上使用相同的布局效果,确保了小程序在不同设备上的兼容性和一致性。 最后,thinkphp6 小程序 diy布局还提供了丰富的扩展功能和插件支持,用户可以根据自己的需求进行定制化开发。同时,它也支持与其他thinkphp6框架的功能进行集成,实现更多的功能组合和扩展。 总结起来,thinkphp6 小程序 diy布局是一款功能强大的小程序布局开发工具,它提供了丰富的布局模板和组件库,支持自定义布局和扩展功能,具有良好的兼容性和用户体验。使用它可以快速实现小程序的布局需求,提高开发效率和用户满意度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值