如何完全防止PHP中的xss攻擊?這是假設我不關心任何HTML標籤或其他格式。只需運行strip_tags並使其完全安全就足夠了嗎?PHP:如何完全防止XSS攻擊?
回答
htmlspecialchars()
和strip_tags()
都被認爲是安全的,用於清除HTML頁面上輸出的用戶輸入。
相關:
取決於上下文。你是輸出它之間的標籤,在CSS中,在JavaScript中,在一個JavaScript字符串內的onclick事件等 – Erlend 2011-09-03 20:36:44
如果輸入有HTML代碼這個功能工作 但如果輸入包含這樣的代碼:javscript:alert(1) 這個函數不能保護你從xss ... – 2014-03-25 14:23:23
@Pouya現在,這只是無稽之談。如果沒有HTML元素放入,攻擊者會如何執行JavaScript? – 2014-03-25 14:43:54
最簡單的方法是簡單地防止用戶進入HTML標籤。如果你strip_tags()或htmlspecialchars()所有的用戶輸入,那麼沒有辦法引入<script>
標籤。
如果你想允許有限的標記,那麼你可以使用類似bbcode的語法(找到一個PHP庫來做到這一點不應該很難,儘管我從來沒有這樣做過,所以沒有任何建議在那個前端),或者你可以使用HTMLpurifier來限制用戶被允許輸入的標記。
- 1. 防止XSS攻擊
- 2. 防止XSS攻擊
- 3. href安全,防止xss攻擊
- 4. 防止xss攻擊/注入
- 5. 防止Javascript和XSS攻擊
- 6. CakePHP的:防止XSS攻擊
- 7. Json.Net Wrapper防止Xss攻擊
- 8. angularjs防止XSS攻擊
- 9. 防止通過URL(PHP)XSS攻擊
- 10. jinja2如何防止XSS攻擊?
- 11. XSS攻擊防護
- 12. XSS攻擊防範
- 13. $ _SERVER ['REQUEST_URI'] - 防止XSS和其他攻擊
- 14. 防止SQL注入和XSS攻擊
- 15. 在javascript中防止xss攻擊url
- 16. 防止WCF調用中的XSS攻擊
- 17. 防止Magento中的XSS攻擊
- 18. 此代碼如何防範XSS攻擊?
- 19. 如何使用防XSS攻擊
- 20. https安全Cookie是否可防止XSS攻擊?
- 21. 防止PHP中的URL編碼XSS攻擊
- 22. 如何防止XXE攻擊
- 23. 如何防止Grails的應用XSS攻擊
- 24. 如何在使用window.location.toString()時防止XSS攻擊
- 25. 如何清理Java中的HTML代碼以防止XSS攻擊?
- 26. 如何使用轉義防止XSS攻擊?
- 27. 如何防止在src等屬性中發生XSS攻擊?
- 28. 如何用SpringMVC + Jackson應用程序防止XSS攻擊?
- 29. PHP防止xss
- 30. 如何避免XSS攻擊
[strip_tags()容易遭受腳本攻擊?](http://stackoverflow.com/questions/5788527/is-strip-tags-vulnerable-to-scripting-attacks) – Gordon 2011-05-09 08:07:59
@edem:XSS漏洞獨立於語言。 – Gumbo 2011-05-09 08:09:21
我知道,但PHP更脆弱。 – 2011-05-11 09:38:11