php 过滤存储型XSS攻击_后端开发
最近做的项目被测试测出了存在存储型XSS,至此记录一下,问题出在了 input 框 :payload:”a” οnclick=alert(1)>也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的。
首先需要说明的一点是,如果需要启用ik分词器,那么分词器的版本必须与es版本一致,即6.3.0的分词器需要同样6.3.0版本的es支持。
安装java
win-64bit的安装包需要去java英文官网查找
安装ES
6.3.0版本es下载地址:
安装IK
win环境下,命令行进入bin,然后执行
elasticsearch-plugin install https://github.com/medcl/elasticsearch-analysis-ik/releases/download/v6.3.0/elasticsearch-analysis-ik-6.3.0.zip
然后重启es。另,es没有热重启功能,守护启动后如果想重启,只能先杀掉进程再启动es
实例展示php表单安全验证_后端开发
这篇文章主要介绍了php token使用与验证方法,通过对form表单hidden提交字段的处理实现token验证功能,防止非法来源数据的访问
安装php客户端
composer require elasticsearch/elasticsearch
配置ik远程字典
在IKAnalyzer.cfg.xml中更改响应配置
http://xxx.com/getDic.php
http://xxx.com/getDicStop.php
如果重启es时出现类似“java.security.AccessControlException: access denied (java.net.SocketPermission 127.0.0.1:8080 connect,resolve)”的报错,解决方法为找到%JAVA_HOME%/jre6/lib/security/java.policy 文件,添加permission java.net.SocketPermission “127.0.0.1:8080″,”connect”; 然后重启es
关于ik远程字典
扩展字典中的词会被筛选出来,扩展停止词中的词会被过滤掉;
即如果你希望某几个字被视作一个词,比如各类流行词汇,则将其加入扩展字典;
如果你希望过滤掉某几个词,则将其加入扩展停止词中。
更多PHP相关知识,请访问PHP教程!