PHP が xss 攻撃を防ぐ基本的な手段
xss html インジェクションの本質
xxs クロスサイト スクリプト
1、反射 xss 非永続的 XXS
2、ストレージ タイプ xxs 永続 XXS
3,Dom ベースの XSS 変更 dom ノード
参加した xss ペイロードが Cookie ハイジャックと偽造ポストの取得を開始します
基本的な防御ができるようになります
1. ほとんどのブラウザは、JS を使用して HttpOnly 属性を持つ Cookie にアクセスします
例:
<?php header("set-cookie:cookie1=test1"); header("set-cookie:cookie1=test1;httponly",false); ?> <script> alert(document.cookie); </script>cookie=test1 のみが表示されます
php5 の場合 setcookie("abc","test",null,null.null,null.null,TURE);//最後のパラメータ
2、入力の確認、出力の確認(リッチテキストエディター)
htmltntities()、htmlspecialchars() を使用して処理してください。
ホワイトリストの原則を使用して入力を判断します
同時に、JavaScriptEncode を使用して js コードをトランスコードします