hyperf通过配置中间件防范XSS攻击

已于 2023-05-31 09:52:47 修改
阅读量293 收藏 1
点赞数 1
文章标签: xss php hyperf
于 2023-04-13 18:01:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42085115/article/details/130136589
版权

中间件代码

<?php

declare(strict_types=1);

namespace App\Middleware;

use Hyperf\HttpServer\Contract\RequestInterface;
use Hyperf\HttpServer\Contract\ResponseInterface as HttpResponse;
use Psr\Container\ContainerInterface;
use Psr\Http\Message\ResponseInterface;
use Psr\Http\Message\ServerRequestInterface;
use Psr\Http\Server\MiddlewareInterface;
use Psr\Http\Server\RequestHandlerInterface;

class ValidationXss implements MiddlewareInterface
{
    /**
     * @var ContainerInterface
     */
    protected $container;

    /**
     * @var RequestInterface
     */
    protected $request;

    /**
     * @var HttpResponse
     */
    protected $response;

    public function __construct(ContainerInterface $container, HttpResponse $response, RequestInterface $request)
    {
        $this->container = $container;
        $this->response  = $response;
        $this->request   = $request;
    }

    /**
     * 处理特殊字符
     * @param ServerRequestInterface $request
     * @param RequestHandlerInterface $handler
     * @return ResponseInterface
     */
    public function process(ServerRequestInterface $request, RequestHandlerInterface $handler): ResponseInterface
    {
        $input = $this->request->getQueryParams();
        foreach ($input as $k => $v) {
       		// 过滤非字符串类型
            if (!is_string($k) || !is_string($v)) {
                continue;
            }
            $input[$k] = htmlspecialchars($v);
        }
        $request = $request->withQueryParams($input);
        return $handler->handle($request);
    }

}
NHPH
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
With语法模型
weixin_42518006的博客
05-14 260
With语法模型 使用动态模型可以自定义语法类的模型,比如这里将要讲述了With语法模型。 1.资源自动关闭 在Java中资源使用完毕后是需要手工释放的,比如InputStream、OutputStream和Connection等,那么是否可以实现资源的自动关闭和释放呢?为此目标我们可以创建With语法模型。 2.With语法模型 2.1.原理 With语法模型...
hyperf 十九 数据库 二 模型
lsswear的专栏
01-03 1207
hyperf模型创建、查询、插入、删除
Hyperf + uni-app 使用 EasyWechat 实现微信小程序登录和支付
hedeqiang
11-02 3435
安装 EasyWechat composer require overtrue/wechat:~4.0 -vvv 修改 SWOOLE_HOOK_FLAGS 编辑 bin/hyperf.php 文件 <?php ! defined('SWOOLE_HOOK_FLAGS') &a...
【SpringBoot学习】23、SpringBoot 防止SQL注入、XSS攻击、CSRF/CROS恶意访问
Tellsea
03-18 3441
文章目录一、SQL注入问题(1)什么是SQL注入(2)防止SQL注入二、XSS攻击问题(1)什么是XSS攻击(2)防止XSS攻击三、CSRF/CROS恶意访问(1)什么是CSRF/CROS恶意访问(2)解决办法四、解决方案微信公众号 一、SQL注入问题 (1)什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,
hyper子查询优雅实现多表关联字段查询及排序
tiway的博客
07-11 847
通过子查询的形式优雅实现关联条件查询
Hyperf框架中使用中间件实现接口参数混淆,防止重放攻击拒绝薅羊毛
dzqxwzoe的博客
02-23 637
混淆方法可以根据自己的需求更改,可以加上AES 带秘钥的加解密,数组排序换个排序方式,md5和base64加密顺序互换等等,我这里只是提供一个思路。主要的流程是把前端请求参数和随机字符字符串加上时间戳(随机字符串和时间戳也要放在header头)进行混淆生成一个header混淆参数,后端以同样的方式把请求参数和从header头获取到的验签参数进行计算与前端传入的混淆参数进行对比验签,同时进行时间戳时间范围验证。这样修改某个请求参数,不修改header头中的验签参数去请求,后端中间件验证一定不会通过。
常见网络攻击及防御方法总结(XSS、SQL注入、CSRF攻击)
xiaohui的博客
04-05 3688
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击和SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击和SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 1、 XSS攻击   XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。   常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶
hyperf 和 laravel、lumen防止xss攻击中间件封装
摩尔小哥
01-22 629
hyperf和laravel、lumen自定义xss中间件封装
PHPXSS跨站攻击的防范
10-30
PHPXSS跨站攻击的防范
防范XSS攻击程序
07-29
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
ThinkPHP2.x防范XSS跨站攻击的方法
10-23
主要介绍了ThinkPHP2.x防范XSS跨站攻击的方法,实例分析了ThinkPHP2.x针对XSS跨站攻击的防范技巧,具有一定参考借鉴价值,需要的朋友可以参考下
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
hyperf框架基础建设:中间件(统一接口参数校验)
wangtianyou343的博客
11-24 680
hyperf框架基础建设:中间件(统一接口参数校验)
hyperf中间件
qq_25475755的博客
04-12 704
原理 加载顺序 全局中间件 -> 类中间件 -> 方法中间件 定义方式 全局定义 在config/autoload/middleware.php中定义全局中间件, 其中key的值对应的是server.php中的servers中定义的协议名称name, 表示在对应的协议上使用不同的全局中间件, 示例: 类中定义 使用@Middleware或者@Middlewares引入多个中间件,如: /** * Desc: * Created By wujingfeng,
hyperf的启动源码分析(一)——服务器是怎样开启的
hjh15827475896的博客
08-31 2440
heyperf 是php 的一款协程框架, 我们在安装好 hyperf 之后, 在命令行使用 php bin/hyperf.php start 就可以将它启动, 那么这行命令到底做了什么工作,本人分析了一下源码, 大至看懂了一些, 这里做一下笔记 从入口进入看一下代码 也就是 hyperf.php //------------------------第一段--------------------- ini_set('display_errors', 'on'); ini_set('display_s
使用queryParams获取参数
热门推荐
博客
01-15 3万+
jquery使用queryParams拿参数: 注:只放上了重点说明问题的代码 //使用isBackUp:$("#isBackUp").val()拿到了参数 &lt;input type="text" id="isBackUp" name="isBackUp" class="input_text" value="${param[
hyperf实现增删改查
xiadiganhuo的博客
05-23 1548
控制器:app/Controller/User/DoctorController.php hyperf中的控制器,可以通过注解的形式来完成依赖注入 hyperf 是完全开放的,本质上没有规定必须基于某种模式下去实现请求的处理,可以采用传统的 MVC 模式,亦可以采用 RequestHandler 模式 来进行开发。依赖自动注入是 hyperf 提供的一个非常强大的功能。hyperf 提供了两种注入方式,一种是大家常见的通过构造函数注入,另一种是通过 @Inject 注解注入,以下代码注释中我有写到。 &.
前端安全:XSS和CSRF攻击的防御策略
最新发布
2301_79507619的博客
05-01 724
**使用HTTP头部**:设置`Content-Security-Policy` (CSP) 响应头可以限制资源(如脚本、图片等)的加载来源,有效阻止外部恶意脚本的执行。- **编码输出**:对输出数据进行HTML编码,确保任何输出到HTML页面的内容都是安全的。- **使用CSRF令牌**:在客户端请求时发送一个随机生成的令牌,服务器进行验证令牌的有效性。- **验证Referer和Origin头部**:通过检查HTTP请求的`Referer`或`Origin`头部来验证请求是否来自合法的源。
反射型XSS攻击如何防范
05-09
反射型XSS攻击是攻击者通过在URL参数或表单数据中注入恶意代码,来使用户在访问受害网站时执行这些恶意代码,从而达到攻击目的的一种攻击方式。 为了防范反射型XSS攻击,可以采取以下几种措施: 1. 对用户输入的数据进行过滤和验证,包括对URL参数、表单数据、Cookie等数据进行过滤和验证,防止其中包含恶意代码。 2. 对输出到页面的数据进行转义,包括对特殊字符(如<,>,&,"等)进行转义,防止这些字符被浏览器解释为HTML代码,从而执行恶意代码。 3. 使用HTTP Only Cookie,使得Cookie只能通过HTTP协议传输,而不能被JavaScript访问,从而防止恶意代码通过JavaScript获取Cookie信息。 4. 使用CSP(Content-Security-Policy)来限制页面中可以执行的脚本,只允许来自指定域名的脚本执行,从而限制攻击者注入的恶意代码。 5. 定期更新和维护Web应用程序,及时修复漏洞和安全问题,以防止攻击者利用已知漏洞进行攻击。 以上措施的组合可以有效地防范反射型XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值