Heim  >  Artikel  >  Backend-Entwicklung  >  一个phper 防备xss攻击的基本手段

一个phper 防备xss攻击的基本手段

WBOY
WBOYOriginal
2016-06-13 11:38:05944Durchsuche

一个phper 预防xss攻击的基本手段


xss的本质 html注入 

xxs  cross site script

1,反射性xss  No-persistent XXS

2,存储型xxs   persisitent XXS

3,Dom Based XSS   改变dom节点

参加的xss payload  发起cookie劫持伪造post get

phper 我们可以做得基本防御

1,绝大部分浏览器紧张js 访问HttpOnly 属性的cookie

如:

<?phpheader ("set-cookie:cookie1=test1");header("set-cookie:cookie1=test1;httponly",false);?><script>alert(document.cookie);</script>
只会 显示 cookie=test1

对于php5 setcookie("abc","test",null,null.null,null.null,TURE);//最后一个参数


2,检查输入,检查输出(富文本编辑器)

用htmltntities() ,htmlspecialchars()处理 !

对于输入多使用白名单原则来做判断

同时在js代码中用  JavascriptEncode做转码处理





Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:从0自学PHP-2013-10-10Nächster Artikel:请教这段rewrite如何写