php修改刷新没反应_PHP如何防止XSS攻击与XSS攻击原理

最新推荐文章于 2024-04-09 17:27:09 发布
最新推荐文章于 2024-04-09 17:27:09 发布
阅读量97 收藏
点赞数
文章标签: php修改刷新没反应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42491664/article/details/112315884
版权

94241796e47f33334da9e78e299b0b8a.gif

文章来自:脚本之家链接:https://www.jb51.net/article/158303.htm
作者:laozhang

商务合作:请加微信(QQ):2230304070

cfef5918768148f36baeee5c3b8223d3.png

资源教程分享

79eefb9c690dcd6d4970ec0bdeefd11b.png

码农网-技术教程资源分享平台:http://www.mano100.cn。这是一个资源教程分享网,网站收集了php视频教程,前端各种视频教程,接口API,微信公众号,支付宝视频教程,还有go语言,python等视频教程,教程以链接+提取码的方式分享与大家!

用公众号每天来阅读文章,学习,目前是最方便的。这是自闲暇的时间里,利用5分钟读读技术文章,丰富自己的知识。。。当然,学习有很多种方法,不单单是基于公众号来学习,你可以到网上查找更多的教程,学习文档,技术书本,视频教程!各有各的爱好吧!

cfef5918768148f36baeee5c3b8223d3.png

文章正文

79eefb9c690dcd6d4970ec0bdeefd11b.png

XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。

理论上,只要存在能提供输入的表单并且没做安全过滤或过滤不彻底,都有可能存在XSS漏洞。

下面是一些最简单并且比较常见的恶意字符XSS输入:

1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:

2.XSS 输入也可能是 HTML 代码段,譬如:

  • (1).网页不停地刷新

  • (2).嵌入其它网站的链接

除了通过正常途径输入XSS攻击字符外,还可以绕过JavaScript校验,通过修改请求达到XSS攻击的目的,如下图:

36d19078e93f6169d1d40f64336e0a9c.png

了解到XSS攻击的原理和危害后,其实要预防也不难,下面提供一个简单的PHP防止XSS攻击的函数:

<?PHP /**
 * @param $string
 * @param $low 安全别级低
 */function clean_xss(&$string, $low = False){if (! is_array ( $string ))
 {
 $string = trim ( $string );
 $string = strip_tags ( $string );
 $string = htmlspecialchars ( $string );if ($low)
 {return True;
 }
 $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
 $no = '/%0[0-8bcef]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/%1[0-9a-f]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
 $string = preg_replace ( $no, '', $string );return True;
 }
 $keys = array_keys ( $string );foreach ( $keys as $key )
 {
 clean_xss ( $string [$key] );
 }
}//just a test
$str = 'codetc.com';
clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了echo $str;?>

PHP中的设置

PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中

-----------------------------------------------------
session.cookie_httponly = 
-----------------------------------------------------

设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性,当然也支持在代码中来开启:

<?php  
ini_set("session.cookie_httponly", 1);  
// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);  
?>

Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:

<?php  
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);  
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); ?>

以上是文章全部内容,有需要学习与经验交流的友友或者进入微信交流群学习与交流的可以加小编为好友咱们一起学习,有问题一起交流,一起进步!前提是你是学技术的。

fc32f6ecca0a14cd1289f5db1fbd79b7.png

把床点着的星火
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP如何防止XSS攻击XSS攻击原理的讲解
10-17
今天小编就为大家分享一篇关于PHP如何防止XSS攻击XSS攻击原理的讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
跨站脚本漏洞(XSS)基础讲解(php处理防止XSS攻击类)
chenpeng0708的博客
04-14 1586
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执...
PHP跨站脚本攻击(XSS)防范方案
最新发布
m0_66326520的博客
04-09 1038
反射型XSS攻击是将注入的恶意脚本添加到一个网址中,然后给用户发送这个网址。一旦用户打开这个网址,就会执行脚本并导致攻击。攻击负载和脚本跟随用户点击链接,并被嵌入到响应中,在浏览器上执行。存储型 XSS 攻击指的是攻击者将恶意脚本提交到受害网站的数据库中,当其他用户浏览包含该恶意脚本链接的页面时,就会执行该脚本,从而导致攻击者的目的得以实现。由于是将恶意脚本保存在数据库中,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
xss攻击解决方案php项目,xss攻击原理与解决方法
weixin_39907157的博客
03-11 671
xss攻击原理与解决方法xss攻击是什么?说直白点就是把html通过评论等输入框,把html代码输入到数据,再次显示用户输入的内容时候就会把他评论的内容的html代码执行掉,比如用户输入'alert('document.cookie');',在刷新页面时候就会执行这段代码执行,如图:如果用户的一些重要数据存储在cookie中,这时候就可以直接被打印出来,用户信息就一目了然了。xss解决方法PHP防...
防止XSS攻击封装
weixin_30682415的博客
08-12 374
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
php 跨站脚本攻击防御,跨站脚本攻击(XSS)的原理、防范和处理方法
weixin_39989688的博客
03-10 584
0。关键字:XSS,跨站脚本攻击,原理分析,攻击方式,防范,检查,恶意代码,蠕虫1。概念以下概念摘抄自百度百科:XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。2。生效方式1)构造URLXSS攻击者通过构造URL的方式构造了一...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
PHP实现的防止跨站和xss攻击代码【来自阿里云】
10-18
主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
XSS攻击原理和解决方法
yy1715713348的博客
06-29 2501
XSS攻击原理和解决方法
Thinkphp防XSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1871
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
PHP防CC攻击实现代码
10-28
所谓的CC攻击就是对方利用程序或一些代理对您的网站进行不间断的访问,造成您的网站处理不了而处于当机状态
PHP 防恶意刷新实现代码
12-18
复制代码 代码如下:<?php session_start(); $k=$_GET[‘k’]; $t=$_GET[‘t’]; $allowTime = 1800;//防刷新时间 $ip = get_client_ip(); $allowT = md5($ip.$k.$t); if(!isset($_SESSION[$allowT])) { $refresh = true; $_SESSION[$allowT] = time(); }elseif(time() – $_SESSION[$allowT]>$allowTime){ $refresh = true; $_SESSION[$allowT
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
PHP和XSS跨站攻击的防范
10-30
PHP和XSS跨站攻击的防范
PHP 预防CSRF、XSS、SQL注入攻击(综合版)
chenrui310的博客
06-20 2569
【简约版】 主要通过校验用户输入信息,过滤用户输入信息,以及关闭错误信息显示等方法。 一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行,从而泄露数据库信息 1.输入验证 2.错误消息处理 3.加密处理 4.使用专业的漏洞扫描工具 二、XSS:跨站脚本攻击,指恶意攻击者往Web页面里插入恶意代码,当用户浏览...
转跨站脚本攻击详解
weixin_30700977的博客
02-18 695
1 前言 近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。 跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)列为当前的头号Web安...
php写一个防止xss攻击
05-19
PHP 中,可以通过使用 htmlspecialchars() 函数来防止 XSS 攻击。该函数将特殊字符转换为 HTML 实体,从而使其无法被浏览器识别为代码。以下是一个示例: ```php // 获取用户输入 $input = $_POST['input']; //...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值