防止XSS攻击封装

最新推荐文章于 2023-12-27 09:14:32 发布
转载 最新推荐文章于 2023-12-27 09:14:32 发布 · 441 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/shenchanglu/p/11337442.html 

<?php
if (!function_exists('remove_xss')) {
    //使用htmlpurifier防范xss攻击
    function remove_xss($string){
        //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件
//         require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
        // 生成配置对象
        $cfg = HTMLPurifier_Config::createDefault();
        // 以下就是配置:
        $cfg -> set('Core.Encoding', 'UTF-8');
        // 设置允许使用的HTML标签
        $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
        // 设置允许出现的CSS样式属性
        $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
        // 设置a标签上是否允许使用target="_blank"
        $cfg -> set('HTML.TargetBlank', TRUE);
        // 使用配置生成过滤用的对象
        $obj = new HTMLPurifier($cfg);
        // 过滤字符串
        return $obj -> purify($string);
    }
}

 

转载于:https://www.cnblogs.com/shenchanglu/p/11337442.html

跨站脚本攻击XSS)以及如何防止它?
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-23 1105
XSS攻击是指攻击者通过注入恶意脚本到网页,当其他用户浏览该页面时,恶意脚本会在受害者的浏览器中执行,从而获取敏感信息、篡改页面内容或执行其他恶意操作。XSS攻击是前端开发中不可忽视的一部分。通过理解XSS攻击的原理及其御策略,我们可以构建出更加安全、健壮的Web应用。随着网络环境的不断演变,开发者应持续关注最新的安全动态,不断优化和升级自己的安全实践,以保护用户的信息安全。在日常开发中,我们应该秉持谨慎的态度,对每一行代码负责,共同营造一个更加安全的互联网世界。
ThinkPHP XSS攻击
H2912616818的博客
12-17 962
这是一篇关于XSS攻击范的文章,主要是用来解决ThinkPHP5.1以下的
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP中的处理方法
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2968
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
Xss(cross-site scripting)攻击
stonehigher125的专栏
07-04 954
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。 比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户
XSS攻击处理
xuzhelin的专栏
09-26 904
1、什么是XSS攻击         XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。    理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码
xss攻击解决方案php项目,xss攻击原理与解决方法
weixin_39907157的博客
03-11 749
xss攻击原理与解决方法xss攻击是什么?说直白点就是把html通过评论等输入框,把html代码输入到数据,再次显示用户输入的内容时候就会把他评论的内容的html代码执行掉,比如用户输入'alert('document.cookie');',在刷新页面时候就会执行这段代码执行,如图:如果用户的一些重要数据存储在cookie中,这时候就可以直接被打印出来,用户信息就一目了然了。xss解决方法PHP...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不会被浏览器解释为HTML代码。 要...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS护。 首先,让我们了解ESAPI。ESAPI是一...
JSP spring boot / cloud 使用filter防止XSS
10-19
防止XSS攻击的场景中,开发者需要关注请求头、请求体和请求参数等位置的数据,确保这些数据在到达后端业务逻辑之前,已经被安全地处理过。 通过创建一个自定义的Filter类XssFilter,在其doFilter方法中,我们可以...
tp6xss攻击的几种方法
qq_63530862的博客
03-13 857
第一种:使用PHP的内置函数----->htmlspecialchars() public function script(){ $data = \request()->get('name'); //第一种直接使用PHP内置函数 $data = htmlspecialchars($data); echo $data; } 第二种:在tp6框架中找到:app/Request.php 设置全局的过滤信息 // 应用请求
XSS攻击
weixin_41599977的博客
08-31 320
原理: HTML语言是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,( < )被看作是HTML标签的开始,与之间的字符是页面的标题内容。当动态页面中插入的内容含有这些特殊字符时,用户的浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入一段JS脚本时,这些脚本程序将会在用户浏览器中执行。 说白了就是渲染模板是的转义与否的问题。默认是开启转义的,即:你输入什么,...
PHPXSS攻击
weixin_30568591的博客
04-27 118
XSS攻击 什么是XSS攻击 代码实例: <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>XSS原理重现</title> </head> <body> <f...
xss攻击
IABQL的博客
08-13 1139
程序中如何实现,写一个过滤器,拦截所有获取的参数,将特殊字符转换一下。:使用 Js 脚本语言,因为浏覧器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览直接进行执行。userName参数后面带了一个脚本参数,它打开了另一个页面,这个页面是一个高仿页面,那么就可能盗取信息。比如在评论区中,如果没有做XSS御处理,那么有人评论了一个带有javascript。像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很就可能受到 XSS 攻击。脚本的评论,那么这个脚本会被浏览器解析执行。...
tp中如何防止mysql注入_thinkphp如何防止sql注入xss攻击
weixin_42327688的博客
01-19 1774
SQL注入简介SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一...
关于ThinkPHP程序框架存在远程命令执行漏洞,致使部门网站遭受攻击
Enweitech Software Works
12-27 1608
ThinkPHP 框架出现 Bug,致中文网站遭受了一周的攻击 据 ZDNET 报道,有超过 45000 个中国网站由于使用 ThinkPHP 框架受到了攻击。 这些攻击针对的是使用 ThinkPHP 构建的网站,ThinkPHP 是一个中国的 PHP 框架,在中国 Web 开发领域非常受欢迎。 所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了 ThinkPH...
php解决XSS攻击
php-yyds
12-27 1866
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的Web应用程序安全漏洞。它允许攻击者将恶意脚本注入到受害者的浏览器中,并在受害者访问受漏洞影响的网页时执行这些恶意脚本。XSS攻击通常发生在Web应用程序对用户输入的处理过程中。攻击者可以利用未经过滤或转义的用户输入,将恶意的HTML、JavaScript或其他脚本注入到网页中。当其他用户访问这个被攻击的页面时,将执行这些恶意脚本,导致安全问题。
php xss攻击
技术的搬运工
01-29 1083
xss攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括php、VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
springboot 防止XSS攻击
最新发布
03-12
### XSS攻击的最佳实践 #### 使用OWASP ESAPI库增强安全性 为了有效XSS攻击,在`pom.xml`文件中引入OWASP ESAPI依赖是一个推荐的做法。通过该库可以方便地对输入数据进行编码处理,从而避免恶意脚本注入[^4]。 ```xml <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version> </dependency> ``` #### 实现自定义Filter拦截请求参数 创建一个专门用于清理HTML标签并转义特殊字符的过滤器类,继承`OncePerRequestFilter`,重写doFilterInternal方法。此方式可以在每次HTTP请求到达控制器之前自动执行预设的数据净化逻辑[^1]。 ```java import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class XssFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request); super.doFilter(xssRequest ,response, filterChain); } } ``` #### 封装XssHttpServletRequestWrapper工具类 针对原始的`HttpServletRequest`对象封装一层新的包装类——`XssHttpServletRequestWrapper`,在此内部完成对于GET/POST提交过来的所有字符串类型的参数值做统一的HTML实体化转换操作。 ```java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util.HashMap; import java.util.Map; public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request){ super(request); } private Map<String,String[]> removeXssAndSql(String[] values) { HashMap<String, String[]> cleanValues = new HashMap<>(); if (values != null && values.length > 0) { for (int i = 0; i < values.length; i++) { // 对于每一个传入的value都调用stripXss函数去除潜在危险代码 cleanValues.put(i+"",new String[]{ stripXss(values[i]) }); } }else{ cleanValues.put("",null); } return cleanValues; } /** * 移除可能存在的XSS风险内容 */ private static String stripXss(String value) { if(value!=null){ // 去掉所有的<script>(.*?)<\/script> value=value.replaceAll("<(\\S*?)[^>]*>.*?</\\1>|<.*? />",""); // 替换html特殊字符为对应的实体形式 value=value.replace("&","&") .replace(">",">") .replace("<","<"); } return value; } } ``` #### 注册全局过滤器组件 最后一步是在Spring Boot启动类或者配置类上添加@Bean注解声明上述定制化的XssFilter实例作为spring容器管理下的bean对象,确保其能够被正确加载到web应用上下文中生效[^2]。 ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Bean public XssFilter xssFilter() { return new XssFilter(); } } ``` 通过以上措施能够在较大程度上降低因不当处理用户输入而导致发生跨站点脚本攻击的风险,保障Web应用程序的安全稳定运行[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值