Die ultimative Lösung zum Schutz vor XSS-Injection in PHP

PHPs ultimative Lösung zur Abwehr von XSS-Injection [Informationssicherheit] [Hack]

1: PHP gibt HTML direkt aus, Sie können die folgenden Methoden zum Filtern verwenden:

1.htmlspecialchars-Funktion

2.htmlentities-Funktion

3.HTMLPurifier.auto.php-Plug-in

4.RemoveXss-Funktion (Baidu kann gefunden werden)

2: Wenn PHP in JS-Code ausgibt oder eine Json-API entwickelt, muss das Front-End in JS filtern:

1 innerText (IE) und textContent (Firefox), also jQuerys text() zur Ausgabe von Textinhalten

2. Wenn Sie Funktionen wie innerHTML verwenden müssen, müssen Sie htmlspecialchars ähnlich wie PHP filtern (siehe @ eechens Antwort)

Drei: Andere allgemeine zusätzliche Verteidigungsmethoden

1. Fügen Sie bei der Ausgabe von HTML den HTTP-Header der Inhaltssicherheitsrichtlinie hinzu

(Funktion : Es kann verhindern, dass die Seite durch XSS angegriffen wird, Skriptdateien von Drittanbietern eingebettet werden usw.)

(Fehler: IE oder Browser niedrigerer Versionen unterstützen dies möglicherweise nicht)

2 Einstellungen Fügen Sie bei der Verwendung von Cookies den HttpOnly-Parameter

hinzu (Funktion: Er kann verhindern, dass Cookie-Informationen gestohlen werden, wenn die Seite von XSS angegriffen wird, und ist mit IE6 kompatibel)

(Fehler: der Der JS-Code der Website selbst kann ebenfalls nicht betrieben werden und ihre Funktion ist eingeschränkt, sie können nur die Sicherheit von Cookies gewährleisten)

3. Überprüfen Sie bei der Entwicklung von APIs die Referrer-Parameter der Anfrage

(Funktion: Es kann CSRF-Angriffe bis zu einem gewissen Grad verhindern)

(Fehler: Im IE oder in Browsern niedrigerer Versionen kann der Referrer-Parameter gefälscht werden)

Für weitere PHP-bezogene Kenntnisse , besuchen Sie bitte das PHP-Tutorial!

Das obige ist der detaillierte Inhalt vonDie ultimative Lösung zum Schutz vor XSS-Injection in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!