ホームページ >バックエンド開発 >PHPチュートリアル >PHP で XSS を防ぐ方法
php xss を防ぐメソッド: 1. PHP が HTML を出力するとき、フィルタリングに htmlentities()、RemoveXss()、HTMLPurifier.auto.php を使用します; 2. Cookie を設定するときに、HttpOnly パラメーターを追加します; 3. 開発APIを使用する場合はリクエストのRefererパラメータを確認してください。
#php は xss
1 を防ぎます。PHP が HTML を直接出力する場合は、次の方法を使用できます。フィルタ:
htmlspecialchars 関数htmlentities 関数HTMLPurifier.auto.php プラグインRemoveXss 関数2. PHP が JS コードに出力する場合、または Json API を開発する場合、フロントエンドを JS でフィルターする必要があります。
innerText (IE) および textContent (Firefox) を使用してみてください。テキストコンテンツを出力するための jQuery の text () です。innerHTML やその他の関数を使用する必要があり、php の htmlspecialchars と同様のフィルタリングを行う必要があります。3. その他の一般的な補足防御意味
HTML出力時にContent Security PolicyのHttpヘッダーを追加します機能: XSS攻撃時にページがサードパーティのスクリプトファイルに埋め込まれるのを防ぐことができます欠点: IE 以前のバージョンのブラウザでは 2 がサポートされていない可能性があります。Cookie を設定する場合、HttpOnly パラメータを追加します。機能: Cookie 情報が使用されないようにすることができます。ページは XSS によって攻撃されています。盗用、IE6 と互換性あり欠陥: Web サイトの JS コード自体は Cookie を操作できず、その機能は制限されており、Cookie のセキュリティのみを保証できます3. API開発時にリクエストのRefererパラメータを確認する機能: CSRF攻撃をある程度防ぐことができる欠点: IE以下のバージョンのブラウザではRefererパラメータが偽造される可能性がある以上がPHP で XSS を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。