PHP が XSS 攻撃を防御するための基本的な手段

PHP が xss 攻撃を防ぐ基本的な手段

xss html インジェクションの本質

xxs クロスサイト スクリプト

1、反射 xss 非永続的 XXS

2、ストレージ タイプ xxs 永続 XXS

3,Dom ベースの XSS 変更 dom ノード

参加した xss ペイロードが Cookie ハイジャックと偽造ポストの取得を開始します

基本的な防御ができるようになります

1. ほとんどのブラウザは、JS を使用して HttpOnly 属性を持つ Cookie にアクセスします

例:

<?php
header("set-cookie:cookie1=test1");
header("set-cookie:cookie1=test1;httponly",false);
?>
<script>
alert(document.cookie);
</script>

cookie=test1 のみが表示されます

php5 の場合 setcookie("abc","test",null,null.null,null.null,TURE);//最後のパラメータ

2、入力の確認、出力の確認(リッチテキストエディター)

htmltntities()、htmlspecialchars() を使用して処理してください。

ホワイトリストの原則を使用して入力を判断します

同時に、JavaScriptEncode を使用して js コードをトランスコードします