XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!
看看常见的恶意字符XSS 输入:
1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:
2.XSS 输入也可能是 HTML 代码段,譬如:
(1).网页不停地刷新
(2).嵌入其它网站的链接
防止XSS攻击测试路径:
其实有很多测试XSS攻击的工具:
- Paros proxy
(http://www.parosproxy.org) - Fiddler
(http://www.fiddlertool.com/fiddler) - Burp proxy
(http://www.portswigger.net/proxy/) - TamperIE
(http://www.bayden.com/dl/TamperIESetup.exe)
对于PHP开发者来说,如何去防范XSS攻击呢?(
php防止xss攻击的函数)
可以用如下函数:
-
- function clean_xss(&$string, $low = False)
- {
- if (! is_array ( $string ))
- {
- $string = trim ( $string );
- $string = strip_tags ( $string );
- $string = htmlspecialchars ( $string );
- if ($low)
- {
- return True;
- }
- $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
- $no = '/%0[0-8bcef]/';
- $string = preg_replace ( $no, '', $string );
- $no = '/%1[0-9a-f]/';
- $string = preg_replace ( $no, '', $string );
- $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
- $string = preg_replace ( $no, '', $string );
- return True;
- }
- $keys = array_keys ( $string );
- foreach ( $keys as $key )
- {
- clean_xss ( $string [$key] );
- }
- }
- //just a test
- $str = 'phpddt.com';
- clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
- echo $str;
-
通过clean_xss()就过滤了恶意内容!