php如何防范xss

php防范xss的方法：1、PHP输出html时，使用htmlentities()、RemoveXss()、HTMLPurifier.auto.php进行过滤；2、设置Cookie时，加上HttpOnly参数；3、开发API时，检验请求的Referer参数。

php防范xss

1、PHP直接输出html的，可以采用以下的方法进行过滤：

htmlspecialchars函数

htmlentities函数

HTMLPurifier.auto.php插件

RemoveXss函数

2、PHP输出到JS代码中，或者开发Json API的，则需要前端在JS中进行过滤：

尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容

必须要用innerHTML等等函数，则需要做类似php的htmlspecialchars的过滤

3、其它的通用的补充性防御手段

在输出html时，加上Content Security Policy的Http Header

作用：可以防止页面被XSS攻击时，嵌入第三方的脚本文件等

缺陷：IE或低版本的浏览器可能不支持

2.在设置Cookie时，加上HttpOnly参数

作用：可以防止页面被XSS攻击时，Cookie信息被盗取，可兼容至IE6

缺陷：网站本身的JS代码也无法操作Cookie，而且作用有限，只能保证Cookie的安全

3.在开发API时，检验请求的Referer参数

作用：可以在一定程度上防止CSRF攻击

缺陷：IE或低版本的浏览器中，Referer参数可以被伪造

Atas ialah kandungan terperinci php如何防范xss. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!