一:PHP间接输入html的,能够采纳如下的办法进行过滤:
1.htmlspecialchars函数
2.htmlentities函数
3.HTMLPurifier.auto.php插件
4.RemoveXss函数(baidu能够查到)
二:PHP输入到JS代码中,或许开发Json API的,则需求前端正在JS中进行过滤:
1.只管即便应用innerText(IE)以及textContent(Firefox),也就是jQuery的text()来输入文本内容
2.必需要用innerHTML等等函数,则需求做相似php的htmlspecialchars的过滤(参照@eechen的谜底)
三:其它的通用的增补性进攻手法
1.正在输入html时,加之Content Security Policy的Http Header
(作用:能够避免页面被XSS攻打时,嵌入第三方的剧本文件等)
(缺点:IE或低版本的阅读器可能没有支持)
2.正在设置Cookie时,加之HttpOnly参数
(作用:能够避免页面被XSS攻打时,Cookie信息被窃取,可兼容至IE6)
(缺点:网站自身的JS代码也无奈操作Cookie,并且作用无限,只能保障Cookie的平安)
3.正在开发API时,测验申请的Referer参数
(作用:能够正在肯定水平上避免CSRF攻打)
(缺点:IE或低版本的阅读器中,Referer参数能够被捏造)
更多PHP相干常识,请拜访PHP教程!
以上就是PHP的进攻XSS注入的最终处理计划的具体内容,更多请存眷资源魔其它相干文章!
标签: php php开发教程 php开发资料 php开发自学
抱歉,评论功能暂时关闭!