php xss过滤

最新推荐文章于 2023-12-27 15:06:04 发布
最新推荐文章于 2023-12-27 15:06:04 发布
阅读量101 收藏
点赞数
文章标签: php

XSS已知CSS (Cross Site Script) ,跨站点脚本攻击。它指的是恶意攻击者Web插入恶意网页html代码,当用户浏览网页。其中嵌入Web里面html代码运行,从而实现了一些人的攻击的目的。

例如,在那里get收到链接回加盟?id=19"><div+style%3Dwidth%3Aexpression(alert(42873))>

会导致页面错乱,甚至还会有弹出框!


以下是thinkphp里面的一段代码,用于过滤xss

ThinkPHP\Code\ThinkPHP\Common\extend.php

<?

php
function RemoveXSS($val) {  
   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed  
   // this prevents some character re-spacing such as <java\0script>  
   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs  
   $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);  
     
   // straight replacements, the user should never need these since they're normal characters  
   // this prevents like <IMG SRC=@avascript:alert('XSS')>  
   $search = 'abcdefghijklmnopqrstuvwxyz';
   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';  
   $search .= '1234567890!@#$%^&*()';
   $search .= '~`";:?

+/={}[]-_|\'\\';
   for ($i = 0; $i < strlen($search); $i++) {
      // ;? matches the ;, which is optional
      // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars
    
      // @ @ search for the hex values
      $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?

)/i', $search[$i], $val); // with a ;
      // @ @ 0{0,7} matches '0' zero to seven times  
      $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
   }
    
   // now the only remaining whitespace attacks are \t, \n, and \r
   $ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');
   $ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
   $ra = array_merge($ra1, $ra2);
    
   $found = true; // keep replacing as long as the previous round replaced something
   while ($found == true) {
      $val_before = $val;
      for ($i = 0; $i < sizeof($ra); $i++) {
         $pattern = '/';
         for ($j = 0; $j < strlen($ra[$i]); $j++) {
            if ($j > 0) {
               $pattern .= '(';  
               $pattern .= '(&#[xX]0{0,8}([9ab]);)';
               $pattern .= '|';  
               $pattern .= '|(&#0{0,8}([9|10|13]);)';
               $pattern .= ')*';
            }
            $pattern .= $ra[$i][$j];
         }
         $pattern .= '/i';  
         $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag  
         $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags  
         if ($val_before == $val) {  
            // no replacements were made, so exit the loop  
            $found = false;  
         }  
      }  
   }  
   return $val;  
}   
?>






測试:

   <?

php //echo RemoveXSS("<script language='javascript'>alert('hello world');</script>") ; ?

>


另一种工具:HTML Purifier,上述文件的效率比翻了一倍。要了解如何葬礼,且听下回分解。


weixin_34082789
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 过滤存储型XSS攻击
散尽浮华
06-21 3992
最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:"a" onclick=alert(1)> 也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的 后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法 //过滤存储型XSS攻击 //过滤存储型XSS攻击 public function safe...
XSS过滤函数 PHP
kaosini的专栏
06-08 2444
转载地址: http://bbs.php100.com/read-htm-tid-41980.html http://www.neatstudio.com/show-378-1.shtml http://qa.taobao.com/?p=12129 http://chaoyueziwo21.blogbus.com/logs/20491494.html 第一个是老外写的
PHP 过滤XSS攻击
weixin_42136237的博客
05-04 209
【代码】PHP 过滤XSS攻击。
PHP XSS攻击过滤
尹子昊专栏
09-09 581
https://gist.github.com/ozkanozcan/3378054  老外写的 function removeXSS($val) {    $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);    $search = 'abcdefghijklmnopqrstuvwxyz';
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击的PHP函数吧,很实用
php处理xss攻击过滤.rar
01-18
标题“php处理xss攻击过滤.rar”表明,这个压缩包提供了一个PHP助手类,专门用于处理和过滤可能含有XSS攻击的输入数据。这个助手类方法可以有效地减少Web应用程序遭受XSS攻击的风险。 描述中提到,这个工具包含示例...
PHP 防注入防XSS攻击入口过滤
04-15
PHP 防注入防XSS攻击入口过滤
PHPXSS攻击过滤函数
11-23 849
<br />XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来。。。<br />原文如下:<br />The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, c
PHP Remove _xss XSS过滤函数
10-14
PHP Remove _xss XSS过滤函数 一个比较严格的XSS过滤
phpXSS防范及脚本过滤
最新发布
五六碗瓶
12-27 512
Content Security Policy(CSP):CSP是一种HTTP头部,通过指定可加载的资源来源来限制页面可以加载的资源。可以在服务器端设置CSP策略。输出编码:在展示用户输入的数据时,使用适当的编码方式来防止XSS攻击。可以使用htmlspecialchars()函数或其他相关的编码函数来编码输出的内容。然而,要注意的是,没有一种方法是绝对安全的,应该综合使用多种防范措施来提高应用程序的安全性。使用Web应用程序防火墙(WAF):部署WAF可以帮助检测和防止各种类型的攻击,包括XSS攻击。
php处理 xss方法,php实现XSS安全过滤的方法
weixin_33132553的博客
03-29 844
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // ...
php过滤xss,sql注入
02-22 1031
php过滤注入和xss攻击等写代码有时候不能面面俱到,不注意就会留下bug,此时安全过滤文件能抵挡大部分程序员的疏忽,git代码,欢迎相互关注,相互学习<?php //本人github地址 https://github.com/gnpok $url_arr = array( 'xss' => "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|lo
php xss过滤器,Xss过滤器如何配置?Xss过滤器配置方法
weixin_34489089的博客
04-15 781
本篇文章给大家带来的内容是关于Xss过滤器如何配置?Xss过滤器配置方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。1.XSS是什么?跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页...
php安全 xss,php实现XSS安全过滤的方法
weixin_39662594的博客
03-13 306
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as...
PHP CodeBase: 过滤XSS攻击的PHP函数
彦彦专栏
12-13 1719
那么PHP站点如何防御XSS攻击呢? 下面的函数可以用来过滤用户的输入,保证输入是XSS安全的。具体如何过滤,可以参看函数内部,也有注释。 function RemoveXSS($val) {      // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed      // thi
如何在 PHP 中防止 XSS
allway2的博客
07-24 2111
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
帮我写一个xss过滤
05-31
以下是使用PHP中的HTML Purifier库编写一个基本的XSS过滤器的示例: ```php // 引入HTML Purifier库 require_once '/path/to/HTMLPurifier.auto.php'; // 创建HTML Purifier对象 $config = HTMLPurifier_Config::...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值