thinkphp6防范xss攻击

本文介绍了两种防范XSS攻击的方法:转化和过滤。转化方法通过htmlspecialchars函数将输入的<>转化为HTML实体,而在TP框架中设置'default_filter'为'htmlspecialchars'。过滤方法利用HTMLPurifier插件过滤script标签及其JS代码,确保内容安全。在商品描述等富文本场景下,可以结合使用这两种方法,分别设置'default_filter'为'htmlspecialchars'和'remove_xss'。
摘要由CSDN通过智能技术生成

转化的思想防范xss攻击
转化的思想:将输入内容中的<>转化为html实体字符。

原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。

TP框架中,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。

设置方法:修改application/config.php

注意:在框架配置文件中,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.

'default_filter' => 'htmlspecialchars',
过滤的思想防范xss攻击
过滤的思想:将输入内容中的script标签js代码过滤掉。

特别在富文本编辑器中,输入的内容源代码中,包含html标签是正常的。不能使用htmlspecialchars进行处理。如果用户直接在源代码界面输入js代码,也会引起xss攻击。

通常使用htmlpurifier插件进行过滤。

使用步骤:

① 使用composer执行命令,安装 ezyang/htmlpurifier 扩展类库

composer require ezyang/htmlpurifier
② 在application/common.php中定义remove_xss函数

if (!function_exists('remove_xss')) {
    //使用htmlpurifier防范xss攻击
    function remove_xss($string){
        //相对index

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值