一个phper 预防xss攻击的基本手段
xss的本质 html注入
xxs cross site script
1,反射性xss No-persistent XXS
2,存储型xxs persisitent XXS
3,Dom Based XSS 改变dom节点
参加的xss payload 发起cookie劫持伪造post get
phper 我们可以做得基本防御
1,绝大部分浏览器紧张js 访问HttpOnly 属性的cooki6来源gaodaimacom搞#^代%!码网搞gaodaima代码e
如:
<?phpheader("set-cookie:cookie1=test1");header("set-cookie:cookie1=test1;httponly",false);?><script>alert(document.cookie);</script>
只会 显示 cookie=test1
对于php5 setcookie(“abc”,”test”,null,null.null,null.null,TURE);//最后一个参数
2,检查输入,检查输出(富文本编辑器)
用htmltntities() ,htmlspecialchars()处理 !
对于输入多使用白名单原则来做判断
同时在js代码中用 JavascriptEncode做转码处理
搞代码网(gaodaima.com)提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected],我们会在看到邮件的第一时间内为您处理,或直接联系QQ:872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:一个phper 防备xss攻击的基本手段
转载请注明原文链接:一个phper 防备xss攻击的基本手段
