一个phper 预防xss攻击的基本手段

最新推荐文章于 2022-03-04 11:14:34 发布
原创 最新推荐文章于 2022-03-04 11:14:34 发布 · 置顶 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PHP #html #js

本文介绍了XSS攻击的三种类型:反射型、存储型和DOM型,并详细解释了如何通过设置HttpOnly标志位来保护cookie安全,以及如何在PHP中正确设置此属性。此外,还提供了对用户输入进行有效验证和过滤的方法,包括使用白名单原则和JavaScript编码。

xss的本质 html注入 

xss  cross site script

1,反射性xss  No-persistent XXS

2,存储型xss   persisitent XXS

3,Dom Based XSS   改变dom节点

参加的xss payload  发起cookie劫持伪造post get

phper 我们可以做得基本防御

1,绝大部分浏览器紧张js 访问HttpOnly 属性的cookie

如:

<?php
header("set-cookie:cookie1=test1");
header("set-cookie:cookie1=test1;httponly",false);
?>
<script>
alert(document.cookie);
</script>
只会 显示 cookie=test1

对于php5 setcookie("abc","test",null,null.null,null.null,TURE);//最后一个参数


2,检查输入,检查输出(富文本编辑器)

用htmltntities() ,htmlspecialchars()处理 !

对于输入多使用白名单原则来做判断

同时在js代码中用  JavascriptEncode做转码处理





CSRF、XSS、Sql攻击以及防范措施
wgy0205的博客
05-13 423
Csrf攻击 什么是Csrf攻击? CSRF攻击,全程Cross Site Request Forgery(跨站请求伪造),攻击者通过跨站请求,以合法的⽤户身份进⾏⾮法操作(如转账或发帖等)。CSRF的原理是利⽤浏览器的Cookie或服务器的Session,盗取⽤户身份,从⽽进⾏操作。 CSRF漏洞产⽣的原因 CSRF漏洞产⽣的原因是服务器端没有对请求的发起源进⾏合理的检验,不加分析地认为请求者⼀定是正常的⽤户,响应请求给⾮法分⼦。 防范 CSRF 攻击是⼀种请求伪造的攻击⽅式,它利⽤
一个基于go-zero开发、为PHP语言Laravel框架的PHPer们准备、支持GRPC的单体框架兼容go-zero框架
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。...如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
Laravel防范xss攻击
Sumshine12.5
04-10 3040
XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 解决办法:永远不要信任用户提交得数据。 这里我们通过HTMLPuifier for Laravel 对用户提交的内容过滤 安装HTMLPurifi...
【转】Laravel 防止XSS攻击
范特西的博客
01-16 8452
目前我们的项目中存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击
laravel8 防止XSS攻击 预防处理方案
孤单的时候狗作陪!的博客
03-04 622
内容摘自Laravel XSS: Examples and Prevention (stackhawk.com) 1.新建中间件 php artisan make:middleware XSS 2.在中间件中添加以下内容 public function handle(Request $request, Closure $next) { $userInput = $request->all(); array_walk_recursive($userIn
Laravel5中防止XSS跨站攻击的方法
10-21
主要介绍了Laravel5中防止XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS跨站攻击的相关操作技巧,需要的朋友可以参考下
一个phper 预防csrf攻击的技巧
myphpnotes
10-23 864
csrf  ,cross site  request forgery  跨站点请求伪造 很多时候用“token”方法来达到防御的效果。 csrf的本质原因是 重要操作的所有参数都是可以被攻击者猜测到的  所以我们建立token来使得请求不能够被完全猜测到 在这里  可以建立token类 ,eg   http://www.wikihow.com/Prevent-Cross-Site-Re
DuckPhp一个 PHP 框架 回归 PHPer 的简单化
最新发布
06-01
一、教程 快速入门 ,快速入门页面。 文档索引页 ,所有文档索引页面,所有文档的集合入口 直接运行演示 cd template php ./duckphp-project run Composer 安装 composer require dvaknheo/duckphp # 用 require ./...
PHP小技巧搜集,每个PHPer都来露一手
12-17
我先说几个: 1,假如你使用echo输出一个简单的语句,类似与: 复制代码 代码如下:<?php echo “Hello World!”; ?> 那么你可以偷懒一下,写成这样: <?=”Hello World!”;?> 2,str_replace()可以...
11个PHPer必须要了解的编程规范
12-18
【编程规范】是每个程序员,特别是PHPer,都需要掌握的核心技能之一。良好的编程规范不仅可以提升代码质量,提高团队协作效率,还能使代码更易于维护和理解。以下将详细阐述11个PHPer需要了解的编程规范: 1. **...
XSS创建PHP文件,如何在laravel 5中创建用于XSS防御的中间件?
weixin_33399354的博客
03-19 165
XSS(跨站点脚本)防御可以说是在站点中必须使用的,如果不使用XSS防御,那么你的站点就极其不安全。XSS过滤器可以从输入值中删除html标记,所以为了安全起见,删除html标记非常重要。在laravel 5.2中,可以通过在项目中使用中间件概念来实现。下面我就给大家介绍如何在laravel应用程序中创建XSS过滤中间件。首先启动以下命令并创建中间件:创建中间件php artisan make:m...
laravel防止XSS攻击(中间件使用)
huangfenhu的博客
03-14 1589
首先,创建中间件: php artisan make:middleware XSS 其次,修改app/Http/Middleware/XSS.php文件: XSS.php namespace App\Http\Middleware; use Closure; use Illuminate\Http\Request; class XSS { public function handle(Re...
如何预防 XSS 攻击
彳亍
09-04 4221
简介XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。 原理是攻击者往 web 页面里插入恶意的脚本代码(CSS代码、JavaScript代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。如盗取用户cookie,破坏页面结构、重定向到其他网站等。理论上来说,web 页面中所有可由用户输入的地方,如果没有对输...
防止一句话木马,php禁用eval函数
myphpnotes
01-13 9791
eval()针对php安全来说具有很大的杀伤力,一般不用的情况下,为了防止 这样的一句话木马,需要禁止掉的. 网上好多说使用disable_functions禁止掉eval 是错误的 其实eval() 是无法用php.ini中的disable_functions禁止掉的  because eval() is a language construct and not a function
我的网络攻防小结,附攻击实例(随笔)
myphpnotes
11-26 4997
我的网络攻防小结,附攻击实例(随笔)
php回溯算法解决n皇后问题
myphpnotes
12-25 2146
php回溯算法解决n皇后问题 回溯法的基本做法是搜索,或是一种组织得井井有条的,能避免不必要搜索的穷举式搜索法。这种方法适用于解一些组合数相当大的问题。 回溯法在问题的解空间树中,按深度优先策略,从根结点出发搜索解空间树。算法搜索至解空间树的任意一点时,先判断该结点是否包含问题的解。如果肯定不包含,则跳过对该结点为根的子树的搜索,逐层向其祖先结点回溯;否则,进入该子树,继续按深度优先策略搜索。 回溯法指导思想——走不通,就掉头。设计过程:确定问题的解空间;确定结点的扩展规则;搜索。
贪婪算法之背包问题求解 (php 版)
myphpnotes
11-26 1565
贪婪算法之背包问题求解 (php 版)
mysql远程连接问题
myphpnotes
10-21 1429
安装完之后成 使用 mysql admin连接报错  ERROR 1130: Host ***.***.***.*** is not allowed to connect to this MySQL server  以下百度查到的,试过可以  说明所连接的用户帐号没有远程连接的权限,只能在本机(localhost)登录。  需更改 mysql 数据库里的 user表里的 hos
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值