首页 >后端开发 >php教程 > 正文

php如何防范xss

原创2020-09-16 18:05:4802618

php防范xss的方法:1、PHP输出html时,使用htmlentities()、RemoveXss()、HTMLPurifier.auto.php进行过滤;2、设置Cookie时,加上HttpOnly参数;3、开发API时,检验请求的Referer参数。

php防范xss

1、PHP直接输出html的,可以采用以下的方法进行过滤:

htmlspecialchars函数

htmlentities函数

HTMLPurifier.auto.php插件

RemoveXss函数

2、PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤:

尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容

必须要用innerHTML等等函数,则需要做类似php的htmlspecialchars的过滤

3、其它的通用的补充性防御手段

在输出html时,加上Content Security Policy的Http Header

作用:可以防止页面被XSS攻击时,嵌入第三方的脚本文件等

缺陷:IE或低版本的浏览器可能不支持

2.在设置Cookie时,加上HttpOnly参数

作用:可以防止页面被XSS攻击时,Cookie信息被盗取,可兼容至IE6

缺陷:网站本身的JS代码也无法操作Cookie,而且作用有限,只能保证Cookie的安全

3.在开发API时,检验请求的Referer参数

作用:可以在一定程度上防止CSRF攻击

缺陷:IE或低版本的浏览器中,Referer参数可以被伪造

以上就是php如何防范xss的详细内容,更多请关注php中文网其它相关文章!

php中文网最新课程二维码
  • 相关标签:php xss
  • 本文原创发布php中文网,转载请注明出处,感谢您的尊重!
  • 相关文章

    相关视频


    网友评论

    文明上网理性发言,请遵守 新闻评论服务协议

    我要评论
  • sql注入的方法:1、开启配置文件中的“magic_quotes_gpc”等设置;2、执行sql语句时使用addslashes进行sql语句转换;3、Sql语句书写尽量不要省略双引号和单引号;4、过滤掉
    yii2xss攻击的方法:首先定义一个用于xss攻击的“actionClean”方法;然后在方法体内实现去除特殊字符;最后调用该方法即可。
    本篇文章讲解编写简洁而又规PHP代码,以及好的PHP代码和坏的PHP代码对比。

    2020-06-19

    467

    CSRF攻击的方法:在HTTP请求中进行token验证,果请求中没有token或者token内容不正确,则认为CSRF攻击而拒绝该请求。
    php止报错的设置方法:1、在错误语句之前加上“@”符号;2、在php文件开始之前,加入语句为“error_reporting(0)”;3、打开php.ini文件,关闭报错功能即可。
    php mt_rand()函数用于在指定围内生成随机整数,语法是“mt_rand();”或“mt_rand(min,max);”。
    php实现sql注入方法:1、execute代入参数法,代码为【$stmt->execute(array($_POST[$j], $_POST[$i])】;2、bindParam绑定参数,代码为
    php限制表单提交方法:1、在表单中添加hidden隐藏域,将hidden值设置为当前时间;2、用户提交表单后,可以获取hidden的值,并与当前时间进行对比;3、果两者相差大于指定时间围,则服务器端不作任其他处理
    php止恶意刷新访问次数的方法是:可以在页面间传递一个验证字符串,在生成页面的时候随机产生一个字符串,将其当成一个必须参数在所有连接中传递,并将这个字符串保存在session中,进入页面判断验证码是不是与用户提交的相同
    php生成指定围内的不重复数字的方法:首先通过mt_rand()函数来生成随机数;然后通过array_flip()函数去除重复数字即可。
    PHP生成指定围内的N个不重复的随机数的方法:首先把指定围内的数值存进数组;然后再使用【shuffle($array)】打乱这个数组;最后再截取其中一定数量的值即可。
    为了止在某一请求还没响应结束的同时,其他请求也去调用外部系统,这个时候就需要加锁处理

    专题推荐

    推荐视频教程
  • PHP每日小知识(第二季)PHP每日小知识(第二季)
  • PHP经典算法面试题PHP经典算法面试题
  • 视频教程分类