Xss攻击
1.跨站脚本攻击(Cross Site Scripting),
为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
简单实例: 当我们在表单 输入框中输入js 代码
<script>alert('你的网站已经被攻击') <script>
我们通过post 接受到用户提交内容时
$data = $_POST
但拱门点击提交时 江浙条主句添加到数据库 添加成功后 再次调用显示这条数据 显示页面会出现弹窗“
你的网站已经被攻击
”
这是因为这段js代码被执行了,这就是XSS攻击。
2.使用htmlspecialchars函数防范xss攻击
在接收数据时 使用htmlspecialchars() 处理数据
eg:$data = htmlspecialchars($_POST);
处理后就不会出现上述弹窗现象
3.在Thinkphp 框架中使用I 函数来防范xss 攻击
I函数第三个参数默认就是
htmlspecialchars()
4、使用htmlpurifier防范富文本编辑器的xss攻击
对于富文本编辑器,提交表单时传递的字符串数据,本身就包含html标签。
如果同时存在html的标签和script标签,就需要做特殊处理:过滤掉其中的script标签。
通常使用第三方工具插件(htmlpurifier)来防范富文本编辑器的xss攻击。