php防备xss
一、PHP间接输入html的,能够采纳如下的办法进行过滤:
htmlspecialchars函数
htmlentities函数
HTMLPurifier.auto.php插件
RemoveXss函数
二、PHP输入到JS代码中,或许开发Json API的,则需求前端正在JS中进行过滤:
只管即便应用innerText(IE)以及textContent(Firefox),也就是jQuery的text()来输入文本内容
必需要用innerHTML等等函数,则需求做相似php的htmlspecialchars的过滤
三、其它的通用的增补性进攻手法
正在输入html时,加之Content Security Policy的Http Header
作用:能够避免页面被XSS攻打时,嵌入第三方的剧本文件等
缺点:IE或低版本的阅读器可能没有支持
2.正在设置Cookie时,加之HttpOnly参数
作用:能够避免页面被XSS攻打时,Cookie信息被窃取,可兼容至IE6
缺点:网站自身的JS代码也无奈操作Cookie,并且作用无限,只能保障Cookie的平安
3.正在开发API时,测验申请的Referer参数
作用:能够正在肯定水平上避免CSRF攻打
缺点:IE或低版本的阅读器中,Referer参数能够被捏造
以上就是php若何防备xss的具体内容,更多请存眷资源魔其它相干文章!
标签: php php开发教程 php开发资料 php开发自学 xss
抱歉,评论功能暂时关闭!