php如何防范xss
发布时间:2025-02-08 点击:26
xss攻击全称跨站脚本攻击,是为不和层叠样式表(cascading style sheets, css)的缩写混淆,故将跨站脚本攻击缩写为xss,xss是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
php防范xss的方法有在输出html时,加上content security policy的http header;在设置cookie时,加上httponly参数;检验请求的referer参数
php防范xss
1、php直接输出html的,可以采用以下的方法进行过滤:
htmlspecialchars函数
htmlentities函数
htmlpurifier.auto.php插件
removexss函数
2、php输出到js代码中,或者开发json api的,则需要前端在js中进行过滤:
尽量使用innertext(ie)和textcontent(firefox),也就是jquery的text()来输出文本内容
必须要用innerhtml等等函数,则需要做类似php的htmlspecialchars的过滤
3、其它的通用的补充性防御手段
在输出html时,加上content security policy的http header
作用:可以防止页面被xss攻击时,嵌入第三方的脚本文件等
缺陷:ie或低版本的浏览器可能不支持
2.在设置cookie时,加上httponly参数
作用:可以防止页面被xss攻击时,cookie信息被盗取,可兼容至ie6
缺陷:网站本身的js代码也无法操作cookie,而且作用有限,只能保证cookie的安全
3.在开发api时,检验请求的referer参数
作用:可以在一定程度上防止csrf攻击
缺陷:ie或低版本的浏览器中,referer参数可以被伪造
免费的国外云服务器租用
广州ecs云服务器上传源码
域名无法解析-云服务器问题
阿里云服务器怎么恢复系统
云服务器配置和真实对比
乐山云服务器多少钱
移动电商基本功:购物车设计(二)
阿里云域名备案需要有服务器吗
php防范xss的方法有在输出html时,加上content security policy的http header;在设置cookie时,加上httponly参数;检验请求的referer参数
php防范xss
1、php直接输出html的,可以采用以下的方法进行过滤:
htmlspecialchars函数
htmlentities函数
htmlpurifier.auto.php插件
removexss函数
2、php输出到js代码中,或者开发json api的,则需要前端在js中进行过滤:
尽量使用innertext(ie)和textcontent(firefox),也就是jquery的text()来输出文本内容
必须要用innerhtml等等函数,则需要做类似php的htmlspecialchars的过滤
3、其它的通用的补充性防御手段
在输出html时,加上content security policy的http header
作用:可以防止页面被xss攻击时,嵌入第三方的脚本文件等
缺陷:ie或低版本的浏览器可能不支持
2.在设置cookie时,加上httponly参数
作用:可以防止页面被xss攻击时,cookie信息被盗取,可兼容至ie6
缺陷:网站本身的js代码也无法操作cookie,而且作用有限,只能保证cookie的安全
3.在开发api时,检验请求的referer参数
作用:可以在一定程度上防止csrf攻击
缺陷:ie或低版本的浏览器中,referer参数可以被伪造
免费的国外云服务器租用
广州ecs云服务器上传源码
域名无法解析-云服务器问题
阿里云服务器怎么恢复系统
云服务器配置和真实对比
乐山云服务器多少钱
移动电商基本功:购物车设计(二)
阿里云域名备案需要有服务器吗
上一篇:腾讯云gpu服务器怎么买
下一篇:云服务器低价空间