html5 防止脚本攻击,php防止xss攻击,过滤不正常的所有字段脚本

最新推荐文章于 2024-02-10 01:05:45 发布
最新推荐文章于 2024-02-10 01:05:45 发布
阅读量151 收藏
点赞数
文章标签: html5 防止脚本攻击

先安装扩展composer require lincanbin/white-html-filter

自己新建一个类<?php

namespace xss;

use lincanbin\WhiteHTMLFilter;

class xss

{

public function parse($uedata)

{

$filter = new WhiteHTMLFilter();

$filter->config->removeAllAllowTag();

$filter->config->modifyTagWhiteList(array(

'a' => array('target', 'href', 'title', 'class', 'style'),

'abbr' => array('title', 'class', 'style'),

'address' => array('class', 'style'),

'area' => array('shape', 'coords', 'href', 'alt'),

'article' => array(),

'aside' => array(),

'audio' => array('autoplay', 'controls', 'loop', 'preload', 'src', 'class', 'style'),

'b' => array('class', 'style'),

'bdi' => array('dir'),

'bdo' => array('dir'),

'big' => array(),

'blockquote' => array('cite', 'class', 'style'),

'br' => array(),

'caption' => array('class', 'style'),

'center' => array(),

'cite' => array(),

'code' => array('class', 'style'),

'col' => array('align', 'valign', 'span', 'width', 'class', 'style'),

'colgroup' => array('align', 'valign', 'span', 'width', 'class', 'style'),

'dd' => array('class', 'style'),

'del' => array('datetime'),

'details' => array('open'),

'div' => array('class', 'style'),

'dl' => array('class', 'style'),

'dt' => array('class', 'style'),

'em' => array('class', 'style'),

'font' => array('color', 'size', 'face'),

'footer' => array(),

'h1' => array('class', 'style'),

'h2' => array('class', 'style'),

'h3' => array('class', 'style'),

'h4' => array('class', 'style'),

'h5' => array('class', 'style'),

'h6' => array('class', 'style'),

'header' => array(),

'hr' => array(),

'i' => array('class', 'style'),

'img' => array('src', 'alt', 'title', 'width', 'height', 'id', '_src', 'loadingclass', 'class', 'data-latex', 'style'),

'ins' => array('datetime'),

'li' => array('class', 'style'),

'mark' => array(),

'nav' => array(),

'ol' => array('class', 'style'),

'p' => array('class', 'style'),

'pre' => array('class', 'style'),

's' => array(),

'section' => array(),

'small' => array(),

'span' => array('class', 'style'),

'sub' => array('class', 'style'),

'sup' => array('class', 'style'),

'strong' => array('class', 'style'),

'table' => array('width', 'border', 'align', 'valign', 'class', 'style'),

'tbody' => array('align', 'valign', 'class', 'style'),

'td' => array('width', 'rowspan', 'colspan', 'align', 'valign', 'class', 'style'),

'tfoot' => array('align', 'valign', 'class', 'style'),

'th' => array('width', 'rowspan', 'colspan', 'align', 'valign', 'class', 'style'),

'thead' => array('align', 'valign', 'class', 'style'),

'tr' => array('rowspan', 'align', 'valign', 'class', 'style'),

'tt' => array(),

'u' => array(),

'text' => array(),

'ul' => array('class', 'style'),

'video' => array('autoplay', 'controls', 'loop', 'preload', 'src', 'height', 'width', 'class', 'style')

));

$filter->loadHTML($uedata);

$filter->clean();

return $filter->outputHtml();

}

}

测试:

我将一个富文本编辑器的看云文档的html全部复制到了一个test控制中,我们来看看过滤和不过滤的效果!

首先是不过滤的:

控制器中是原样输出的.

1a3402a480309e7bc1facb3f92b44430.png

33d8fe44dd226bcea16dd772b4ded5aa.png

现在上已经过滤的

f360a7717770f9d7822e21dfde9f94cd.png

fb72656f0c359bb260e99163164952e7.png

可以看见把CSS文件 script脚本都过滤了,

00ae27bb877755b4c460211da97ae74f.png

这类的都被过滤了。

汽车来找茬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie-stealer:简单PHP-Javascript-XSS的Web服务器Cookie窃取脚本
05-09
饼干偷 注入[removed] [removed] =“ ” + [removed]; </ script>放入易受攻击的文本字段
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看,来自数据库、网络服务器和其他来源的数据往往也是不可信的,也就是说,这些数据可能没有完全通过验证。应该始终对不可信数据保持警惕,将其视为包含攻击,这意味着在发送不可信数据之前,应该采取措
调查:XSS攻击Web应用程序-研究论文
05-20
如今,Web应用程序对于在许多领域(例如,资金,基于Web的业务,人力资源等)的利用具有巨大的价值和惊人的价值,因此必须对其进行全面验证。 应用程序可能很容易受到攻击,因此被攻击者滥用以获取客户的凭据。 交叉脚本XSS)是Web应用程序的重大风险,因为它是对Web应用程序的基本而简单的攻击Xss攻击设置了平台,例如跨站点请求会话劫持,伪造...等。 XSS攻击是一种注入攻击,其中攻击者在客户端程序的用户端或数据库的服务器端将侵犯性内容注入站点。 恶意代码基本上是JavaScript代码,并且在Web应用程序的输入字段中执行。 XSS攻击的类型为非持久(或反映)的XSS,持久(或存储的)XSS和基于DOM的漏洞。 跨站点脚本XSS)漏洞的主要原因是无法清理植入网页中的用户输入。 尽管采用了安全的编码技术并使用了漏洞检测工具,但XSS仍保留在许多Web应用程序中,因为该方法非常复杂,方法的实现不正确,缺乏漏洞知识。 在本文中,我们调查了XSS攻击,预防基于存储的XSS和基于DOM的XSS的原因和方法。
Web应用进行XSS漏洞测试
03-03
对WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含JavaScript脚本,如弹出恶意警告框:<script>alert("XSS");</script>XSS输入也可能是HTML代码段,譬如:网页不停地刷新<metahttp-equiv="refresh"content="0;">嵌入其它网站的链接<iframesrc=http://xxxxwidth=250heigh
PHP如何防止XSS攻击
qq_37913859的博客
07-07 447
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars(string,ENTQUOTES).
PHPHTMLPurifier防XSS攻击
郑宗强的博客
04-27 391
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击HTMLPurifier项目地址:http://htmlpurifier.org 配置方法记录下来,以备工作中使用! /** * * @param [type] $string [要过滤的内容] * @return ...
php 过滤存储型XSS攻击
散尽浮华
06-21 3977
最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" onclick=alert(1)> 也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的 后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法 //过滤存储型XSS攻击 //过滤存储型XSS攻击 public function safe...
php通用过滤,php通用防注入和XSS攻击全局过滤代码
weixin_33778479的博客
03-10 241
//php防注入和XSS攻击通用过滤.//byqq:831937$_GET&&SafeFilter($_GET);$_POST&&SafeFilter($_POST);$_COOKIE&&SafeFilter($_COOKIE);functionSafeFilter(&$arr){$ra=...
xss php 转义_整理php防注入和XSS攻击通用过滤
weixin_39963523的博客
03-09 394
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
xss攻击怎么防止
sinat_37212928的博客
06-06 379
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。
防止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
Linux图形化性能监视器HolyLance.zip
07-19
Holy Lance  一个简单易用的 Linux 图形化性能监视器。 项目 GitHub https://github.com/lincanbin/Holy-Lance 演示地址 http://ipv4.94cb.com/Holy-Lance/build/holy_lance.php 下载地址 https://github.com/lincanbin/Holy-Lance/releases/download/v1.2.0/holy_lance.php https://github.com/lincanbin/Holy-Lance/releases/download/v1.2.0/holy_lance.zip 单文件,下载完传到服务器就可以了。 捐赠 戳我帮助开发者能吃得起早餐 运行截图 添加了多核CPU显示。 添加了Load监控。
你真的会过滤XSS吗?5分钟深刻理解htmlspecialchars函数
最新发布
cul1n的博客
02-10 1303
一个很常见的现象 ,我们去搜索如何防御 XSS 攻击的时候,经常会看到一种防御方式就是使用,印象里之前在初学阶段,面试官在问及我如何防御 XSS 漏洞的时候,我也最喜欢说使用去过滤,那这种过滤方法真的安全吗?今天在这篇文章里我们主要涉及到讨论的过滤效果及不同效果是否存在漏洞及配套的绕过手法。函数是 PHP 中的一个内置函数,它用于将特定的 HTML 字符转换为 HTML 实体字符。在 HTML 中,某些字符如, 和具有特殊含义,分别代表HTML的标签、结束标签、字符引用和实体引用。
Web前端安全系列之:XSS攻防
高灯GFE
03-09 345
Web 攻击技术的发展也可以分为几个阶段。在Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世–XSS(跨站脚本攻击)。伴随着Web 2.0的兴起,XSSCSRF等攻击已经变得更为强大。Web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。
phpXSS防范及脚本过滤
五六碗瓶
12-27 377
Content Security Policy(CSP):CSP是一种HTTP头部,通过指定可加载的资源来源来限制页面可以加载的资源。可以在服务器端设置CSP策略。输出编码:在展示用户输入的数据时,使用适当的编码方式来防止XSS攻击。可以使用htmlspecialchars()函数或其他相关的编码函数来编码输出的内容。然而,要注意的是,没有一种方法是绝对安全的,应该综合使用多种防范措施来提高应用程序的安全性。使用Web应用程序防火墙(WAF):部署WAF可以帮助检测和防止各种类型的攻击,包括XSS攻击
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1658
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
如何php防止XSS攻击
热门推荐
TeachYouToBe的博客
05-24 1万+
什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascript或者其他脚本,当你再把这些提交的内容显示到页面上时,xss攻击就发生了。 关于xss攻击方式和场景层出不穷,以下是一些解决的方法,各位可以借鉴,如果有不准确的在下方评论,忘各位大神Coder不吝
php防止xss攻击过滤不正常的所有html标签和脚本
qq_42289686的博客
03-17 634
先安装扩展支持 composer require lincanbin/white-html-filter 然后自己创建一个过滤的类 <?php namespace xss; use lincanbin\WhiteHTMLFilter; class xss { public function parse($uedata) { $filter = new ...
php 读出html xss,使用PHP清理HTML5(防止XSS)
weixin_31440211的博客
03-12 90
PHP提供了解析方法以防止代码PHP / SQL注入(即mysql_real_escape_string()).对于HTML / CSS / JavaScript,情况并非如此.为什么?第一:HTML / CSS / Javascript的唯一目的是显示信息.您可以接受HTML的某些元素或根据您的要求拒绝它们.其次:由于HTML / CSS / JS元素数量非常多(也在不断增加),因此无法尝试控制...
jsp如何防止xss跨站脚本攻击
06-07
JSP 可以通过以下几种方式来防止 XSS 跨站脚本攻击: 1. 输入检查和过滤:在 JSP 页面中对用户输入的数据进行检查和过滤,例如过滤HTML 标签和 JavaScript 代码等。 2. 输出编码:在 JSP 页面中输出变量时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值