PHP防跨站一些记录

最新推荐文章于 2022-08-16 13:24:20 发布
最新推荐文章于 2022-08-16 13:24:20 发布
阅读量428 收藏
点赞数
文章标签: php 运维
原文链接:https://segmentfault.com/a/1190000007942002
版权

对于nginx来说有3种方法可以防跨站请求

方法1

在nginx的php配置中或者在包含的 include fastcgi.conf 文件中加入:

fastcgi_param  PHP_VALUE  "open_basedir=$document_root:/tmp/";

方法2

php.ini中配置open_basedir选项

open_basedir=/home/www/www.aaa.com:/home/www/www.bbb.com:/tmp/:/proc/

方法3

使用php5.3.3新增的.user.ini配置文件
在网站根目录下创建一个.user.ini隐藏文件,然后写入

open_basedir=/home/www/www.aaa.com:/tmp/:/proc/

这个文件名可以通过php.ini文件中的user_ini.filename选项来修改名称,以及可以通过user_ini.cache_ttl来修改生效时间,默认是300秒。
而且这个文件最好关闭修改属性,防止内容被篡改,使用如下命令

chattr +i .user.ini // 关闭文件修改权限,root用户也不能修改

如果需要修改内容使用

chattr -i .user.ini

然后进行内容修改,修改完成后别忘记把i权限加回来,保证安全。具体请man chattr以及man lsattr

Apache

方法1

在虚拟主机配置文件中使用php_admin_value open_basedir来进行限制

<VirtualHost *:80>
  ServerAdmin admin@example.com
  DocumentRoot "/srv/code/laravel/public"
  ServerName laravel.dev

  php_admin_value open_basedir "/srv/code/laravel:/tmp/:/proc/" #这里进行限制
  #省略...
<Directory "/srv/code/laravel/public">
//省略...
</Directory>
</VirtualHost>

方法2

.htaccess文件中进行设置(目前还没研究到)

http://php.net/manual/zh/ini....
https://lnmp.org/faq/lnmp-vho...

weixin_33704234
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP和XSS跨攻击的防范
10-30
PHP和XSS跨攻击的防范
php通用防注入程序 推荐
12-18
推荐的PHP防注入程序,如文中代码所示,采用了一个名为`jk1986_checksql()`的函数,它主要通过以下几个步骤来过滤可能的恶意输入: 1. **定义危险字符集**:首先,定义一个字符串`$bad_str`,包含了SQL注入常用的...
PHP和XSS跨攻击
Haohappy的专栏
01-17 4161
其实这个话题很早就想说说了,发现国内不少PHP点都有XSS漏洞。今天偶然看到PHP5的一个XSS漏洞,在此小结一下。顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下。如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些)。国内不少论坛都存在跨脚本漏洞,例如这里  有一个Google Hack+XSS的攻击例子,针对的是Discuz 4.0.0RC3。国外也很多这样的例子,甚
php 接口 防跨,Php 防跨分析
weixin_30974905的博客
03-11 112
今天在改bug时,发现同事写的代码里存在跨漏洞,于是加了个php防跨函数htmlentities()。因为以前也没有认真分析过此函数,翻了下文档,想了解透测点。Htmlentities() 转化所有适当字符为html实体函数说明:string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset ...
php防止仿,安全:PHP防止外表单跨提交的几种办法详解
weixin_32823555的博客
03-20 193
《安全:PHP防止外表单跨提交的几种办法详解》要点:本文介绍了安全:PHP防止外表单跨提交的几种办法详解,希望对您有用。如果有疑问,可以联系我们。在众多功击手段中,有一种是功击者自己伪造了一个和你网一样的表单,然后在他自己内或别处,向你的网提交。这种跨和XSS不一样,是为了提交表单数据到你的网,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是...
php 防止跨脚本攻击,如何应用php防止XSS跨脚本攻击
weixin_42498206的博客
03-09 560
如何应用php防止XSS跨脚本攻击发表于2019-05-16 14:50|次阅读|来源网络整理|作者session摘要:如何应用php防止XSS跨脚本攻击如何应用php防止XSS跨脚本攻击首先,跨脚本攻击都是因为对用户的输入没有停止严厉的过滤形成的,所以咱们必须在一切数据进入咱们的网和数据库之前把能够的风险阻拦。针对非法的HTML代码包括单双引号等,可能利用htmlentities()函...
简单的PHP防注入类库
04-28
这通常涉及使用PHP内置的`htmlspecialchars()`函数来防止XSS(跨脚本)攻击,并使用`mysqli_real_escape_string()`或`PDO::quote()`函数来转义SQL特殊字符,防止SQL注入。 2. **参数化查询**:除了传统的字符串...
asp,aspx,php防护代码
01-05
ASP、ASPX和PHP都提供了内置或者第三方库来检查输入的有效性,例如防止SQL注入和跨脚本攻击(XSS)。对于ASP和ASPX,可以使用Server.HTMLEncode防止XSS,而PHP则有htmlspecialchars函数实现相同功能。 2. 防SQL...
php安全配置记录和常见错误梳理(总结)
10-20
`cookie_httponly`应设为`1`,阻止JavaScript访问Session Cookie,减少跨脚本攻击(XSS)的风险。如果网使用HTTPS,`cookie_secure`也应设为`1`,强制使用安全连接传输Cookie。 `sql.safe_mode`虽然在PHP中...
在线生成防红短链接php源码
最新发布
08-29
除了基础功能,源码还应考虑安全性,如防止SQL注入、XSS跨脚本攻击等。此外,优化方面包括URL生成的效率、负载均衡和容错机制,以确保服务的稳定性和高可用性。 综上所述,这个"在线生成防红短链接PHP源码"涉及...
php 防止跨脚本攻击,​PHP怎么防止XSS跨脚本攻击
weixin_29220405的博客
03-09 247
PHP怎么防止XSS跨脚本攻击发布时间:2020-07-18 09:23:31来源:亿速云阅读:73作者:清晨这篇文章将为大家详细讲解有关PHP怎么防止XSS跨脚本攻击,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。PHP防止XSS跨脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。在使用htmlspe...
防跨攻击php,PHP 防XSS跨攻击
weixin_35926197的博客
03-16 85
//防止跨攻击static public function removeXss($val){$val = preg_replace(‘/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/‘, ‘‘, $val);$search = ‘abcdefghijklmnopqrstuvwxyz‘;$search .= ‘ABCDEFGHIJKLMNOPQRSTUVWXYZ‘;$se...
php 防跨表单提交
weixin_30894389的博客
11-16 87
1 crub.class.php <?php class Crumb { CONST SALT = "your-secret-salt"; ...
PHP安全编程:跨请求伪造CSRF的防御(转)
weixin_33847182的博客
07-29 186
请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于跨请求伪造攻击。事实上,如果没有对跨请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。 请看下面一个简单的应用,它允许用户购买钢笔或铅笔。界面上包含下面的表单: 0...
php 接口 防跨,php开发中可以防跨请求的几种方法
weixin_42573113的博客
03-11 274
方式1在nginx的php配置中或是在包括的includefastcgi.conf文档中添加:fastcgi_paramPHP_VALUE”open_basedir=$document_root:/tmp/”;方式2在php.ini中配备open_basedir选择项open_basedir=/home/www/www.aaa.com:/home/www/www.bbb.com:/tmp/:/pr...
关于防止 PHP 中的跨脚本漏洞你需要知道的一切
allway2的博客
08-16 1020
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串中的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不应该提供自己的 HTML 标记的情况。在一个上下文中是安全的(例如允许使用 HTML)在其他上下文中可能是灾难性的(例如,我们处于 HTML 属性的中间)。...
php设置跨,php配置防跨防跨目录安全
weixin_31180441的博客
03-09 813
php配置防跨防跨目录安全现在很多网都是采用php,不少都是直接使用现在成熟的cms程序,这些php开发的cms系统本身安全性可能并不高,这时就需要我们在服务器做一些针对php程序配置防跨防跨目录等一些设置,可以有效的防止服务器上所有的php被恶意篡改。适用范围及演示系统适用范围:php5.3及以上版本演示系统:centos防跨防跨目录安全设置方法第1步:登录到linux系统...
PHP防止跨表单提交与同跨页伪造表单的攻击
weixin_33910759的博客
11-01 69
2019独角兽企业重金招聘Python工程师标准>>> ...
php如何跨post,php攻击实例分析
weixin_34621309的博客
03-10 177
这篇文章主要介绍了php攻击的原理与防范技巧,以具体实例对php攻击进行了较为详细的分析,是非常实用的技巧,需要的朋友可以参考下本文实例讲述了php攻击的原理与防范技巧。分享给大家供大家参考。具体方法分析如下:跨攻击就是利用程序上的一些细节或bug问题进行的,那么我们要如何耿防止跨攻击呢?下面就以一个防止跨攻击例子来说明,希望对各位有帮助。#demo for prevent cs...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值