【转】Laravel 防止XSS攻击

最新推荐文章于 2024-06-06 18:34:11 发布
最新推荐文章于 2024-06-06 18:34:11 发布
阅读量8.3k 收藏 1
点赞数
文章标签: laravel xss

目前我们的项目中存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师,必须遵循一个安全原则:

  • 永远不要信任用户提交的数据

XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。

一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行 JavaScript 代码,他们即可通过 JavaScript 读取并窃取你的 Cookie,拿到你的 Cookie 以后即可伪造你的身份登录网站。(扩展阅读 —— IBM 文档库:跨站点脚本攻击深入解析 )

有两种方法可以避免 XSS 攻击:

第一种,对用户提交的数据进行过滤
第二种,Web 网页显示时对数据进行特殊处理,一般使用 htmlspecialchars() 输出。

XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。

一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行 JavaScript 代码,他们即可通过 JavaScript 读取并窃取你的 Cookie,拿到你的 Cookie 以后即可伪造你的身份登录网站。(扩展阅读 —— IBM 文档库:跨站点脚本攻击深入解析

有两种方法可以避免 XSS 攻击:

  • 第一种,对用户提交的数据进行过滤;
  • 第二种,Web 网页显示时对数据进行特殊处理,一般使用 htmlspecialchars() 输出。

Laravel 的 Blade 语法 {{ }} 会自动调用 PHP htmlspecialchars 函数来避免 XSS 攻击

Blade 的 {!! !!} 语法是直接数据,不会对数据做任何处理。在我们这种场景下,因为业务逻辑的特殊性,第二种方法不适用,我们将使用第一种方法,对用户提交的数据进行过滤来避免 XSS 攻击。

HTMLPurifier#

HTMLPurifier 本身就是一个独立的项目,运用『白名单机制』对 HTML 文本信息进行 XSS 过滤。

『白名单机制』指的是使用配置信息来定义『HTML 标签』、『标签属性』和『CSS 属性』数组,在执行 clean() 方法时,只允许配置信息『白名单』里出现的元素通过,其他都进行过滤。

如配置信息:

‘HTML.Allowed’ => ‘div,em,a[href|title|style],ul,ol,li,p[style],br’,
‘CSS.AllowedProperties’ => ‘font,font-size,font-weight,font-style,font-family’,

当用户提交时:


文章内容

会被解析为:


文章内容

以下内容因为未指定会被过滤:

someproperty 未指定的 HTML 属性
color 未指定的 CSS 属性
script 未指定的 HTML 标签

HTMLPurifier for Laravel 5#

HTMLPurifier for Laravel 是对 HTMLPurifier 针对 Laravel 框架的一个封装。本章节中,我们将使用此扩展包来对用户内容进行过滤。
1. 安装 HTMLPurifier for Laravel 5#

使用 Composer 安装:

  • $ composer require “mews/purifier:~2.0”
  1. 配置 HTMLPurifier for Laravel 5#

命令行下运行

  • $ php artisan vendor:publish –provider=”Mews\Purifier\PurifierServiceProvider”

请将配置信息替换为以下:

config/purifier.php

<?php

return [
    'encoding'      => 'UTF-8',
    'finalize'      => true,
    'cachePath'     => storage_path('app/purifier'),
    'cacheFileMode' => 0755,
    'settings'      => [
        'user_topic_body' => [
            'HTML.Doctype'             => 'XHTML 1.0 Transitional',
            'HTML.Allowed'             => 'div,b,strong,i,em,a[href|title],ul,ol,ol[start],li,p[style],br,span[style],img[width|height|alt|src],*[style|class],pre,hr,code,h2,h3,h4,h5,h6,blockquote,del,table,thead,tbody,tr,th,td',
            'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,margin,width,height,font-family,text-decoration,padding-left,color,background-color,text-align',
            'AutoFormat.AutoParagraph' => true,
            'AutoFormat.RemoveEmpty'   => true,
        ],
    ],
];

配置里的 user_topic_body 是我们为话题内容定制的,配合 clean() 方法使用:

  • topic>body=clean( topic->body, ‘user_topic_body’);

开始过滤#

一切准备就绪,现在我们只需要在数据入库前进行过滤即可:

app/Observers/TopicObserver.php

<?php

namespace App\Observers;

use App\Models\Topic;

// creating, created, updating, updated, saving,
// saved,  deleting, deleted, restoring, restored

class TopicObserver
{
    public function saving(Topic $topic)
    {
        $topic->body = clean($topic->body, 'user_topic_body');

        $topic->excerpt = make_excerpt($topic->body);
    }
}

HTMLPurifier#

HTMLPurifier 本身就是一个独立的项目,运用『白名单机制』对 HTML 文本信息进行 XSS 过滤。

『白名单机制』指的是使用配置信息来定义『HTML 标签』、『标签属性』和『CSS 属性』数组,在执行 clean() 方法时,只允许配置信息『白名单』里出现的元素通过,其他都进行过滤。

如配置信息:

'HTML.Allowed' => 'div,em,a[href|title|style],ul,ol,li,p[style],br',
'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,font-family',

当用户提交时:

<a someproperty="somevalue" href="http://example.com" style="color:#ccc;font-size:16px">
    文章内容<script>alert('Alerted')</script>
</a>

会被解析为:

<a href="http://example.com" style="font-size:16px">
    文章内容
</a>

以下内容因为未指定会被过滤:

  1. someproperty 未指定的 HTML 属性
  2. color 未指定的 CSS 属性
  3. script 未指定的 HTML 标签

HTMLPurifier for Laravel 5#

HTMLPurifier for Laravel 是对 HTMLPurifier 针对 Laravel 框架的一个封装。本章节中,我们将使用此扩展包来对用户内容进行过滤。

1. 安装 HTMLPurifier for Laravel 5#

使用 Composer 安装:

  • $ composer require “mews/purifier:~2.0”

2. 配置 HTMLPurifier for Laravel 5#

命令行下运行

  • $ php artisan vendor:publish –provider=”Mews\Purifier\PurifierServiceProvider”

请将配置信息替换为以下:

config/purifier.php

<?php

return [
    'encoding'      => 'UTF-8',
    'finalize'      => true,
    'cachePath'     => storage_path('app/purifier'),
    'cacheFileMode' => 0755,
    'settings'      => [
        'user_topic_body' => [
            'HTML.Doctype'             => 'XHTML 1.0 Transitional',
            'HTML.Allowed'             => 'div,b,strong,i,em,a[href|title],ul,ol,ol[start],li,p[style],br,span[style],img[width|height|alt|src],*[style|class],pre,hr,code,h2,h3,h4,h5,h6,blockquote,del,table,thead,tbody,tr,th,td',
            'CSS.AllowedProperties'    => 'font,font-size,font-weight,font-style,margin,width,height,font-family,text-decoration,padding-left,color,background-color,text-align',
            'AutoFormat.AutoParagraph' => true,
            'AutoFormat.RemoveEmpty'   => true,
        ],
    ],
];

配置里的 user_topic_body 是我们为话题内容定制的,配合 clean() 方法使用:

$topic->body = clean($topic->body, 'user_topic_body');

开始过滤#

一切准备就绪,现在我们只需要在数据入库前进行过滤即可:

app/Observers/TopicObserver.php

<?php

namespace App\Observers;

use App\Models\Topic;

// creating, created, updating, updated, saving,
// saved,  deleting, deleted, restoring, restored

class TopicObserver
{
    public function saving(Topic $topic)
    {
        $topic->body = clean($topic->body, 'user_topic_body');

        $topic->excerpt = make_excerpt($topic->body);
    }
}
范特西Fantasy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Laravel5中防止XSS跨站攻击的方法
10-21
主要介绍了Laravel5中防止XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS跨站攻击的相关操作技巧,需要的朋友可以参考下
Laravel开发-laravel-xss-filter
08-28
Laravel开发-laravel-xss-filter 过滤XSS的用户输入,但不要过滤其他HTML
Laravel防范xss攻击
Sumshine12.5
04-10 2871
XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 解决办法:永远不要信任用户提交得数据。 这里我们通过HTMLPuifier for Laravel 对用户提交的内容过滤 安装HTMLPurifi...
laravel8使用中间件实现xss处理
最新发布
janthinasnail的博客
06-06 473
2、编辑app/Http/Middleware/XSSClean.php文件。3、配置app/Http/Kernel.php文件。
laravel8 防止XSS攻击 预防处理方案
孤单的时候狗作陪!的博客
03-04 534
内容摘自Laravel XSS: Examples and Prevention (stackhawk.com) 1.新建中间件 php artisan make:middleware XSS 2.在中间件中添加以下内容 public function handle(Request $request, Closure $next) { $userInput = $request->all(); array_walk_recursive($userIn
Laravel开发-laravel-xss-middleware
08-28
`laravel-xss-middleware`就是针对这一问题的解决方案,它提供了一个简洁而有效的手段,用于过滤用户输入并防止XSS攻击。 首先,让我们理解一下什么是中间件。在Laravel中,中间件是处理HTTP请求和响应的组件,它们...
Laravel开发-xss-protection
08-28
Laravel内置了Blade模板引擎,它提供了一种防止XSS攻击的方式。Blade模板中的`{{ }}`语法会自动对输出内容进行HTML编码,防止恶意脚本执行。但是,对于需要保持原始HTML的场景,可以使用`{!! !!}`语法,但需谨慎,...
mysql防止xss攻击_Laravel5中防止XSS跨站攻击的方法
weixin_42113552的博客
02-02 130
本文实例讲述了Laravel5中防止XSS跨站攻击的方法。分享给大家供大家参考,具体如下:Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。1、安装HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifi...
Laravel 项目的 XSS 攻击解决方案
Mr_Lewis的博客
01-09 3224
一、XSS概述 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行...
Laravel之模板继承、不解析模板和防xss攻击
qq_46179813的博客
05-19 489
1、模板继承 <!-- 继承parent模板 --> @extends('parent') <!-- 修改它的left属性 --> @section('left') <h1>这是模板继承</h1> @endsection 子类 <!-- 继承parent模板 --> @extends('parent') <!-- 修改它的内容 --> @section('content','Blade之继承') @parent <!
laravel-image-sanitize:通过上传的图像文件防止恶意代码执行
05-10
它可以防止恶意代码执行! 这是一个小巧但方便的软件包,可防止恶意代码执行通过上传的图像进入您的应用程序。 它是在 的启发下创建的 安装 您可以通过composer安装该软件包: composer require laravel-at/laravel-image-sanitize 用法 在您的App\Http\Kernel类中注册ImageSanitizeMiddleware protected $ routeMiddleware = [ // ... 'image-sanitize' => \ LaravelAt \ ImageSanitize \ ImageSanitizeMiddleware ::class, ]; 然后,只需在Controller的构造函数中使用它 public function __construct () { $ this -> m
HTMLPurifier laravel 过滤输入文本防止XSS攻击安装使用
weixin_30886233的博客
06-28 365
Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。Puri...
你的 PHP/Laravel 网站是否足够安全?
Eric
02-24 2445
你的 PHP/Laravel 网站是否足够安全? 1. SQL 注入或许这是最知名的漏洞. 从根本上来说, 他允许网站攻击者注入 SQL 到你的代码中. 如果你的代码就想这样:$post_id = $_POST['post_id'];$sql = "DELETE FROM posts WHERE user_id = 1 AND id = $post_id";\DB::statement($sql)...
laravel防止XSS攻击(中间件使用)
huangfenhu的博客
03-14 1504
首先,创建中间件: php artisan make:middleware XSS 其次,修改app/Http/Middleware/XSS.php文件: XSS.php namespace App\Http\Middleware; use Closure; use Illuminate\Http\Request; class XSS { public function handle(Re...
laravel8 实现XSS预防处理方案
daxianyu666的博客
03-01 371
内容摘自Laravel XSS: Examples and Prevention (stackhawk.com) 1.新建中间件 php artisan make:middleware XSS 2.在中间件中添加以下内容 public function handle(Request $request, Closure $next) { $userInput = $request->all(); array_walk_recursive($userIn
一个phper 预防xss攻击的基本手段
myphpnotes
10-23 1027
xss的本质 html注入  xxs  cross site script 1,反射性xss  No-persistent XXS 2,存储型xxs   persisitent XXS 3,Dom Based XSS   改变dom节点 参加的xss payload  发起cookie劫持伪造post get 我们可以做得防御 1,绝大部分浏览器紧张js 访问Http
XSS创建PHP文件,如何在laravel 5中创建用于XSS防御的中间件?
weixin_33399354的博客
03-19 111
XSS(跨站点脚本)防御可以说是在站点中必须使用的,如果不使用XSS防御,那么你的站点就极其不安全。XSS过滤器可以从输入值中删除html标记,所以为了安全起见,删除html标记非常重要。在laravel 5.2中,可以通过在项目中使用中间件概念来实现。下面我就给大家介绍如何在laravel应用程序中创建XSS过滤中间件。首先启动以下命令并创建中间件:创建中间件php artisan make:m...
laravel-exploits
10-07
这些漏洞可能包括未经验证的用户输入、跨站脚本攻击XSS)、跨站请求伪造(CSRF)等。 为了防止Laravel-Exploits的发生,开发人员需要采取一系列安全措施。首先,必须保持框架和依赖库的更新。Laravel的维护者会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值