ThinkPhp6防止XSS攻击

最新推荐文章于 2023-05-12 01:11:32 发布
最新推荐文章于 2023-05-12 01:11:32 发布
阅读量733 收藏 1
点赞数 2
文章标签: xss 前端 thinkphp php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xian_hu/article/details/121991636
版权

因为 tp6 框架已经自带转化危险标签

所以我们要进行过滤掉危险标签

第一步:

安装 composer 安装插件来处理

composer require ezyang/htmlpurifier

第二步:

将代码放置在公共文件中

// 过滤危险标签:防SS攻击
if (!function_exists('remove_xss')) {
 
    //使用htmlpurifier防范xss攻击
 
    function remove_xss($string)
    {
 
        //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件
 
        // require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
 
        // 生成配置对象
 
        $cfg = HTMLPurifier_Config::createDefault();
 
        // 以下就是配置:
 
        $cfg->set('Core.Encoding', 'UTF-8');
 
        // 设置允许使用的HTML标签
 
        $cfg->set('HTML.Allowed', 'div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
 
        // 设置允许出现的CSS样式属性
 
        $cfg->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
 
        // 设置a标签上是否允许使用target="_blank"
 
        $cfg->set('HTML.TargetBlank', TRUE);
 
        // 使用配置生成过滤用的对象
 
        $obj = new HTMLPurifier($cfg);
 
        // 过滤字符串
 
        return $obj->purify($string);
 
    }
}

 第三步:

接值的时候进行调用即可:

$data = $request -> all ( ' ' , ' ' , ' remove_xss ' ) ;

thinkphp6 防范xss攻击
qq_61302398的博客
01-16 1695
转化的思想防范xss攻击 转化的思想:将输入内容中的<>转化为html实体字符。 原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。 TP框架中,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。 设置方法:修改application/config.php 注意:在框架配置文件中,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.
thinkphp6 过滤XSS攻击
weixin_58862349的博客
12-15 260
第一步:执行composer命令安装 composer require ezyang/htmlpurifier 第二步:在公共文件中定义remove_xss函数 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 //requi.
tp6防范xss攻击的几种方法
Follow_found的博客
01-13 3256
首先配置一个get方法的路由,方便我们查看效果 路由: Route::get('script','goods/script'); 页面的地址栏: 控制器的方法: public function script(){ $data = \request()->get('name'); echo $data; } 按照以上的配置完成后,页面先弹出一个“xss攻击”的弹框,点击确定后会在页面输出123; 接下来我们来谈一谈防范xss攻击的三种方.
tp6 防止XSS攻击之表单提交安全校验
Shanliangxiaobai的博客
12-15 683
tp6 防止XSS攻击之表单提交安全校验
tp6处理接口安全
m0_61928732的博客
03-15 570
中间件 public function handle($request, \Closure $next) { $token = $request->param('token'); $jwtService = new JwtService(); $decode = $jwtService->checkToken($token); if(!$decode) { echo "token无效"; die(); }..
ThinkPHP6 预防XSS攻击的一点小建议
u011415782的专栏
07-22 708
前几天,我们线上项目,出现一些恶意攻击行为;基本就是恶意用户在一些接口开放的参数上,最简单的处理方式,就是过滤处理请求参数。的代码,从而影响网站的正常访问。两边的标签,类似微博过滤效果。这是典型的XSS攻击行为。............
ThinkphpXSS跨站脚本攻击漏洞
最新发布
美奇软件开发工作室
05-12 2422
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
ThinkPHP 防范XSS攻击
H2912616818的博客
12-17 863
这是一篇关于XSS攻击防范的文章,主要是用来解决ThinkPHP5.1以下的
thinkphp6防范xss攻击
zb0109的博客
12-15 901
转化的思想防范xss攻击 转化的思想:将输入内容中的<>转化为html实体字符。 原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。 TP框架中,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。 设置方法:修改application/config.php 注意:在框架配置文件中,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.
thinkphp6 过滤XSS攻击 详解
jack_qinSer的博客
12-15 668
首先使用composer执行命令 composer require ezyang/htmlpurifier 在app/common.php公共文件中定义remove_xss函数 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
PHP Remove _xss XSS过滤函数
10-14
PHP Remove _xss XSS过滤函数 一个比较严格的XSS过滤
关于ThinkPhp 框架表单验证及ajax验证问题
01-21
之前的表单验证都是用js写的,这里也可以使用tp框架的验证。但是两者比较而言还是js验证比较好,因为tp框架验证会运行后台代码,这样运行速度和效率就会下降。    自动验证是ThinkPHP模型层提供的一种数据验证方法,可以在使用create创建数据对象的时候自动进行数据验证。验证的代码要写在模型层即Model里面。   数据验证有两种方式: 静态方式:在模型类里面通过$_validate属性定义验证规则。静态方式定义好以后其它地方都可以使用。 动态方式:使用模型类的validate方法动态创建自动验证规则。动态方式比较灵活,哪里使用就写,其它地方不可以使用。 无论是什么方式,验证规则的定义是
XSS攻击
qq7027的博客
12-15 2468
XSS攻击
tp6的表单验证
寂寥人生
07-12 665
和tp5的还是有点不同的 tp5 //接收参数 $params = input(); //表单验证 $validate = $this->validate($params, [ 'name|用户名' => 'require|tk', 'password|密码' => 'require|min:6|max:18', 'code|验证码' => 'req
thinkphp6 验证器使用防止取回语言包结果
这么多柠檬c
12-16 343
/** * 定义验证规则 * 格式:'字段名' => ['规则1','规则2'...] * * @var array */ protected $rule = [ 'duration_time' => ['number', 'require'], 'timeout' => ['number', 'require'], 'start_location' => ['number', 'require'], 'show.
tp6 后台表单验证
sangkaixin1的博客
08-06 247
$params = $request->get(); //表单验证 $validate = Validate::rule([ 'phone'=>'require' ]); if (!$validate->check($params)){ return Response::create(['error_code'=>500,'msg'=>$validate->get...
TP6的注意事项
黄啊码
05-27 596
create()可以默认根据主键插入 save()需要指定id名称叫做id,create不需要 获取自增id $insert_data=$this->model->create($data); echo$insert_data->id;
tp6 验证器使用
weixin_43453621的博客
07-25 1630
这里我是在控制器里使用的表单验证,也可以在路由上注册使用,这里不介绍了,网上很多。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值