php 避免xss_thinkphp中防止xss攻击的方法

最新推荐文章于 2024-04-09 17:27:09 发布
最新推荐文章于 2024-04-09 17:27:09 发布
阅读量500 收藏 1
点赞数
文章标签: php 避免xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35676745/article/details/115102544
版权

cb5052cf000de2799aba9e2994def2a5.png

● XSS(跨站脚本攻击)两种形式:输入JS代码或者HTML代码导致页面乱。

● XSS(跨站脚本攻击)可以用于窃取其他用户的Cookie信息,要避免此类问题,可以采用如下解决方案:

直接过滤所有的JavaScript脚本;

转义Html元字符,使用htmlentities、htmlspecialchars等函数;

系统的扩展函数库提供了XSS安全过滤的remove_xss方法;

新版对URL访问的一些系统变量已经做了XSS处理。

用户提交的表单信息时候,该表单里边有可能存在相关的“代码”(html/css/js等代码),这样代码会在信息显示的时候对页面效果造成干扰。

1、下载htmlpurifier,解压后将library文件夹放到ThinkPhp的插件文件夹并在分组的common文件夹中创建function.php

2、在function,php中创建防止xss攻击方法

3.我们可以将从post中得到的数据先通过hThinkphp系统自带的I()方法来进行数据过滤然后在通过调用函数fanXSS进行过滤即可

举以下的例子:

在thinphp开发后台过程中需要添加编辑器,要让编辑器正常显示就要设置I函数不过滤。

现在的问题来了,如果不过滤就会被XSS攻击如果过滤在线编辑器就不好使了,解决的办法应该是有选择性的过滤,

我们可以一个开源的过滤的包:htmlpurifier包。

把下载的包解压到跟目录改名为HTMLpurifier

b6f22b720815c431d467fa67826e3057.png

创建一个函数

10810ff27e3ece87f8a0b3845f3274c3.png

然后修改配置文件config.php让I函数使用这个函数来过滤:

858606fc6a25d77bb44f38dcfaa78a1b.png

现在网站中I函数过滤时使用的就是我们写的这个函数:有选择性的过滤只过滤危险代码。

网站就很安全了!

大圣南佳境
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkphp6 过滤XSS攻击 详解
jack_qinSer的博客
12-15 576
首先使用composer执行命令 composer require ezyang/htmlpurifier 在app/common.php公共文件定义remove_xss函数 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
ThinkPHP2.x防范XSS跨站攻击的方法
12-19
本文实例讲述了ThinkPHP2.x防范XSS跨站攻击的方法。分享给大家供大家参考。具体如下: 一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下。 原理是通过URL传入script标签,ThinkPHP...
struts防止xss攻击_thinkphp防止xss攻击方法
weixin_39812065的博客
12-06 119
php文网最新课程每日17点准时技术干货分享● XSS(跨站脚本攻击)两种形式:输入JS代码或者HTML代码导致页面乱。● XSS(跨站脚本攻击)可以用于窃取其他用户的Cookie信息,要避免此类问题,可以采用如下解决方案:直接过滤所有的JavaScript脚本;转义Html元字符,使用htmlentities、htmlspecialchars等函数;系统的扩展函数库提供了XSS安全过...
PHP跨站脚本攻击(XSS)防范方案
最新发布
m0_66326520的博客
04-09 974
反射型XSS攻击是将注入的恶意脚本添加到一个网址,然后给用户发送这个网址。一旦用户打开这个网址,就会执行脚本并导致攻击。攻击负载和脚本跟随用户点击链接,并被嵌入到响应,在浏览器上执行。存储型 XSS 攻击指的是攻击者将恶意脚本提交到受害网站的数据库,当其他用户浏览包含该恶意脚本链接的页面时,就会执行该脚本,从而导致攻击者的目的得以实现。由于是将恶意脚本保存在数据库,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
thinkphp等框架开发容易忽略的xss攻击及应对XSS攻击方法
小刚刚技术博客
08-17 2203
虽然说现在的web开发框架都是挺成熟的框架,在性能、安全等方面都有比较好的表现,但问题往往出现在业务逻辑上,如上周我再公司发现的一个跨站脚本攻击,(通常公司是这么过滤的,max(0,$_GET[‘a’])、strip_tags($_GET[‘a’]),然而代码量大的话,就容易出现忽略的地方) 如下面一段代码: JavaScript <script> (function(){ var a = {:$_GET['b']}; //.... })() </script> 如果把接收
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1774
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
XSS攻击解析
qq_59527682的博客
11-16 211
1.什么是XSS攻击   跨站脚本攻击(Cross Site Scripting),攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。2.转化思想防范xss攻击   修改application/config.php   注:在框架配置文件,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.     'default_filter' => 'htmlspecialchars',3.过滤思想防
xss防御之php利用httponly防xss攻击
12-19
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)...
xss-platform.rar
05-27
ThinkPHPxss平台源码,支持PHP7+,安装方便,自带11个常用模块
thinkphp模板继承实例简述
12-19
本文实例讲述了thinkphp模板继承的实现方法。分享给大家供大家参考。具体实现方法如下: 模板的继承: 复制代码 代码如下:’top’></block><!–这是父级模板–> <div xss=removed>广告部分 ’body’> <div xss=...
如何在 PHP 防止 XSS
allway2的博客
07-24 2028
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分,我没有讨论属性问题,我已经在其他框架讨论过。这三种类型的最大区别在于,在存储的XSS,用户数据保存在数据库,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
PHP防止xss攻击
yang_ldgd的博客
08-16 573
phpxss攻击
PHP如何防止XSS攻击
qq_37913859的博客
07-07 448
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars(string,ENTQUOTES).
防止xss攻击方法 php,PHP防止或过滤xss攻击的一些方法
weixin_31880681的博客
03-26 804
其实就是过滤从表单提交来的数据,使用php过滤函数就可以达到很好的目的。现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,主要去除了script等标签,下面直接上代码,不断的增加完善改进。//去除xxs的攻击的公共方法public function clean_xss($string){$string = trim($string...
php判断xss攻击
echojson的专栏
03-19 953
function isXss() 02.{ 03.$temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI']))); 04.if(strpos($temp, ') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRAN
PHP如何防止XSS攻击XSS攻击原理
Daisy的博客
10-10 1367
转载至:https://mp.weixin.qq.com/s/jRuchaDBHpXxkjZh31F5vA XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站输入(传入)恶意的HTML代码,当用户浏览该网站时,这...
PHP网页xss攻击测试用例,Web安全测试 | xss攻击
weixin_29357243的博客
03-22 480
xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。xss一般分为两种类型,持久化的xss和非持久化的xss。持久化xss下面这个例子演示了攻击者如何通过注入恶意代码去盗取用户的cooki...
thinkphp6 防范xss攻击
qq_61302398的博客
01-16 1540
转化的思想防范xss攻击 转化的思想:将输入内容的<>转化为html实体字符。 原生phpxss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串的特殊字符,比如<> 转化为html实体字符。 TP框架,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。 设置方法:修改application/config.php 注意:在框架配置文件,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.
thinkphp等框架开发容易忽略的xss攻击
天狗追月的博客
07-14 5069
虽然说现在的web开发框架都是挺成熟的框架,在性能、安全等方面都有比较好的表现,但问题往往出现在业务逻辑上,如上周我再公司发现的一个跨站脚本攻击,(通常公司是这么过滤的,max(0,$_GET[‘a’])、strip_tags($_GET[‘a’]),然而代码量大的话,就容易出现忽略的地方) 如下面一段代码:  (function(){ var a = {:$_GET['b']}; //..
php代码使用ThinkPHP框架有什么优势
05-16
ThinkPHP是一款成熟的PHP开源框架,其主要优势包括: 1. MVC架构:采用MVC架构,让代码更易于维护和扩展。 2. ORM支持:内置简单易用的数据库操作方法,支持多种数据库,开发更加高效。 3. 模板引擎:内置模板引擎,支持模板继承、布局、标签库等功能,让前后端分离更加便捷。 4. RESTful支持:支持RESTful API开发,让接口开发更加规范和易用。 5. 丰富的扩展库:拥有丰富的扩展库,如缓存、验证、文件上传、邮件发送等,可以快速完成常用功能的开发。 6. 安全性:内置多种安全防护机制,如XSS过滤、CSRF防护、SQL注入防护等,保障系统的安全性。 7. 社区支持:拥有庞大的开发者社区和文档支持,可以快速解决问题和学习新技术。 综上所述,ThinkPHP框架具有易用性、高效性、可扩展性、安全性和规范性等优势,广泛应用于企业级Web应用开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值