thinkphp で XSS 攻撃を防ぐ方法

## XSS (クロスサイト スクリプティング攻撃) には 2 つの形式があります。JS コードまたは HTML コードを入力するとページが混乱します。

# XSS (クロスサイト スクリプティング攻撃) は、他のユーザーの Cookie 情報を盗むために使用される可能性があります。このような問題を回避するには、次の解決策を使用できます:

すべての JavaScript スクリプトを直接フィルタリングします。

HTML メタ文字をエスケープし、htmlentities や htmlspecialchars などの関数を使用します;

システムの拡張関数ライブラリには、XSS セキュリティ フィルタリング用の Remove_xss メソッドが用意されています;

新しいバージョンの URL の一部アクセス機能 システム変数は XSS によって処理されています。

ユーザーがフォーム情報を送信すると、フォーム内に関連する「コード」(html/css/js およびその他のコード) が含まれる可能性があり、情報が表示される際のページ効果を妨げます。

1. htmlpurifier をダウンロードして解凍し、ライブラリ フォルダーを ThinkPhp プラグイン フォルダーに配置し、グループ化された共通フォルダーに function.php を作成します

2. function、php メソッド内に作成します。 xss 攻撃を防ぐため

#3. まず、hThinkphp システムに付属の I() メソッドを通じて投稿から取得したデータをフィルターし、次に関数 fanXSS

を呼び出してフィルターします。

次の例を見てみましょう:

thinphp 開発のバックグラウンドプロセスでは、エディタを追加する必要がありますが、エディタを正常に表示するには、I 関数をフィルタしないように設定する必要があります。

ここで問題が発生します。フィルタをかけないと XSS の攻撃を受けます。オンライン エディタをフィルタリングすると機能しません。解決策は選択的フィルタリングです。

We can オープンソースのフィルタリング パッケージ: htmlpurifier パッケージ。

ダウンロードしたパッケージをディレクトリに抽出し、名前を HTMLpurifier に変更します

関数を作成します

# 次に、構成ファイル config.php を変更して、I 関数がこの関数を使用してフィルタリングできるようにします。

Web サイトの I 関数は、フィルタリング時に作成した関数を使用します。選択的フィルターは危険なコードのみをフィルターします。

このウェブサイトは非常に安全です。

この記事は、ThinkPHP フレームワークの技術記事コラムからのものです:

http://www.php.cn/phpkj/thinkphp/

以上がthinkphp で XSS 攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。