首頁 >後端開發 >php教程 >php如何防範xss

php如何防範xss

清浅
清浅原創
2019-05-08 15:44:187892瀏覽

php防範xss的方法:1、PHP輸出html時,使用htmlentities()、RemoveXss()、HTMLPurifier.auto.php進行過濾;2、設定Cookie時,加上HttpOnly參數;3、開發API時,檢驗請求的Referer參數。

php如何防範xss

php防範xss

#1、PHP直接輸出html的,可以用以下的方法進行過濾:

htmlspecialchars函數

htmlentities函數

HTMLPurifier.auto.php外掛

RemoveXss函數

#RemoveXss函數

2.PHP輸出到JS程式碼中,或是開發Json API的,則需要前端在JS中進行過濾:

盡量使用innerText(IE)和textContent(Firefox),也就是jQuery的text ()來輸出文字內容必須要用innerHTML等等函數,則需要做類似php的htmlspecialchars的過濾

3、其它的通用的補充性防禦手段

在輸出html時,加上Content Security Policy的Http Header

作用:可以防止頁面被XSS攻擊時,嵌入第三方的腳本檔案等

缺陷:IE或低版本的瀏覽器可能不支援

2.在設定Cookie時,加上HttpOnly參數

作用:可以防止頁面被XSS攻擊時,Cookie訊息被盜取,可相容至IE6

缺陷:網站本身的JS程式碼也無法操作Cookie,而且作用有限,只能保證Cookie的安全性

3.在開發API時,檢驗請求的Referer參數######作用:可以在一定程度上防止CSRF攻擊######缺陷:IE或低版本的瀏覽器中,Referer參數可以被偽造####

以上是php如何防範xss的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn