ホームページ  >  記事  >  バックエンド開発  >  PHP が XSS 攻撃を防御するための基本的な手段

PHP が XSS 攻撃を防御するための基本的な手段

WBOY
WBOYオリジナル
2016-06-13 12:35:061122ブラウズ

PHP が xss 攻撃を防ぐ基本的な手段


xss html インジェクションの本質

xxs クロスサイト スクリプト

1、反射 xss 非永続的 XXS

2、ストレージ タイプ xxs 永続 XXS

3,Dom ベースの XSS 変更 dom ノード

参加した xss ペイロードが Cookie ハイジャックと偽造ポストの取得を開始します

基本的な防御ができるようになります

1. ほとんどのブラウザは、JS を使用して HttpOnly 属性を持つ Cookie にアクセスします

例:

<?php
header("set-cookie:cookie1=test1");
header("set-cookie:cookie1=test1;httponly",false);
?>
<script>
alert(document.cookie);
</script>
cookie=test1 のみが表示されます

php5 の場合 setcookie("abc","test",null,null.null,null.null,TURE);//最後のパラメータ


2、入力の確認、出力の確認(リッチテキストエディター)

htmltntities()、htmlspecialchars() を使用して処理してください。

ホワイトリストの原則を使用して入力を判断します

同時に、JavaScriptEncode を使用して js コードをトランスコードします





声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。