yii2.0防止跨站脚本攻击方法

最新推荐文章于 2020-11-27 15:24:26 发布
转载 最新推荐文章于 2020-11-27 15:24:26 发布 · 177 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/jilu/p/6195096.html
文章标签:

#php

本文介绍了在Yii框架中如何通过Html::encode()和HtmlPurifier::process()两种方法来防止跨站脚本(XSS)攻击,展示了具体的控制器代码及视图实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

控制器代码

public function actionIndex(){

//视图需要显示的数据
$hello_str = 'hello God!<script>alert(3)</script>';

//创建一个数组
$data = array();

//把需要传递给视图的数据,放到数组当中
$data['view_hello_str']=$hello_str;

//传送数据到视图文件
return $this->renderPartial('index',$data);

视图代码

<?php
use yii\helpers\Html;    //使用的类的命名空间地址  必须
use yii\helpers\HtmlPurifier;   //使用的类的命名空间地址 必须
?>
<!-- 避免跨站脚本攻击 用Html::encode转义输出 原样输出 --!>
<h1><?=Html::encode($view_hello_str);?></h1>

视图页显示结果:

hello God!<script>alert(3)</script>

<!-- 避免跨站脚本攻击 用HtmlPurifier::process完全过滤js代码,不输出js代码  --!>
<h1><?=HtmlPurifier::process($view_hello_str);?></h1>

视图页显示结果:

hello God!

 

转载于:https://www.cnblogs.com/jilu/p/6195096.html

yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8319
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
Yii2.0高级应用模板
10-28
5. 安全性:框架内置了防止SQL注入、XSS攻击等的安全机制,确保你的应用更加安全。 6. 自动化测试:Yii2.0提供单元测试、功能测试和验收测试工具,便于进行持续集成和质量保证。 高级应用模板是Yii2.0提供的一个...
YII XSS(跨站脚本攻击)
weixin_30642869的博客
05-27 254
   \Yii::$app->response->headers->add('X-XSS-Protection','0');//表示关闭YII的跨站脚本过滤//http://www.frontend.com/test/post?name=<script>alert("hello world!")</script> 反射型注入攻击 echo \Yii...
yii2视图防xss攻击
zhangzhangdan的博客
07-12 771
XSS攻击:跨站脚本攻击(Cross Site Scripting)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。在控制器层用户输入了一个javascript代码,若未做处理,则会直接以javascript方式输出,这样就存在安全隐患我们可以在视图层这样过滤此代码攻击:那浏览器输出格式是怎...
YII2框架学习 安全篇(一) XSS攻击和防范(上)
混血王子的博客
06-15 2584
在如今的web开发中,网络安全,信息安全应该是最重要的一环。常见的攻击主要有四类,XSS攻击、CSRF攻击、SQL注入和文件上传漏洞。在接下来的安全篇里,我会依次说明YII框架是如何应对这些攻击的。本篇要学习的就是XSS攻击和防范之存储。 XSS攻击的意思是跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包
Yii框架防止sql注入,xss攻击与csrf攻击的方法
龙cc的博客
10-11 1272
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下: PHP中常用到的方法有:/* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $st
yii2.0高级版
10-22
8. **安全**:框架内置了多种安全功能,如防止XSS攻击、CSRF保护、输入验证等,确保应用的安全性。 9. **缓存管理**:Yii 2.0 支持多种缓存策略,包括文件缓存、数据库缓存、APC、Memcached和Redis等,提高应用性能...
YII2.0手册HTML离线版
04-02
6. **安全特性**:提供防止SQL注入、跨站脚本攻击(XSS)等的安全功能,保障应用安全。 7. **自动代码生成**:Gii工具可以帮助生成CRUD操作、模型、控制器等基础代码,减少手动编写的工作量。 8. **灵活的配置**:...
Yii2.0中文手册完整版:深入学习指南
手册中会覆盖如何为模型添加验证规则、如何使用安全组件进行数据加密和防止跨站脚本攻击(XSS)等。 ### 6. 用户认证和授权 Yii2.0内置了用户认证和授权的框架,支持基于角色的访问控制(RBAC)、OAuth以及传统的...
Yii 2.0 框架中文安装与更新指南
- **安全防护**:提供了防止SQL注入、跨站脚本攻击等的安全措施。 - **易学易用**:Yii 2.0的文档详尽且易于理解,社区活跃,提供了丰富的教程和示例。 ### 3. 应用开发流程 - **创建模型**:定义业务逻辑和数据...
Yii2的XSS攻击防范策略分析
01-20
本文实例讲述了Yii2的XSS攻击防范策略。分享给大家供大家参考,具体如下: XSS 漏洞修复 原则: 不相信客户输入的数据 注意: 攻击代码不一定在[removed][removed]中 ① 将重要的cookie标记为http only, 这样的话Javascript 中的[removed]语句就不能获取到cookie了. ② 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。 ③ 对数据进行Html Encode 处理 ④ 过滤或移除特殊的Html标签, 例如: script, iframe , < for>
php隐藏webshell_PHP 安全的十个必备技巧
weixin_39633917的博客
11-27 225
在这篇文章中,我将尝试为你提供一些可以提高 PHP 应用程序安全性的具体步骤。我关注的是 PHP 配置本身,所以我们不会讨论 SQL 注入、HTTPS 或其他与 PHP 无关的问题。我将使用我的 docker-entrypoint.sh 脚本中的 bash 行来说明示例,但当然你可以将其应用于非 docker 环境。Sessions使用较长的 Session ID 长度增加会话 id 长度会使攻击...
Yii2.0防御csrf攻击方法
09-05 1306
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的 通过查阅资料发现,这是CRSF验证的原因 原理: Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COO
yii2视图参数xss攻击脚本过滤
成长中de大神
06-22 1139
视图参数xss攻击脚本过滤 class HomeController extends Controller { public function actionIndex() { $data = [ 'str' =&amp;amp;gt; 'hello world &amp;amp;lt;script&amp;amp;gt;alert(1)&amp;amp;lt;/script&amp;amp;gt;',
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4648
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2的csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
yii防护csrf攻击
zhangzhangdan的博客
07-23 961
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
跨站点脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值