現在很多網站都存在跨站腳本攻擊漏洞,讓黑客有機可乘.跨站攻擊很容易就可以構造�����,而且非常隱蔽,不易被查覺(通常盜取信息后馬上跳轉回原頁面)�。如何攻擊�����,在此不作介紹,主要談談如何防范�。
對網站發動XSS攻擊的方式有很多種�,僅僅使用php的一些內置過濾函數是對付不了的����,即使你將filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags這些函數都使用上了也不一定能保證絕對的安全���。
那么如何預防 XSS 注入?主要還是需要在用戶數據過濾方面得考慮周全�����,在這里不完全總結下幾個 Tips
1. 假定所有的用戶輸入數據都是“邪惡”的
2. 弱類型的腳本語言必須保證類型和期望的一致
3. 考慮周全的正則表達式
4. strip_tags�、htmlspecialchars 這類函數很好用
5. 外部的 Javascript 不一定就是可靠的
6. 引號過濾必須要重點注意
7. 除去不必要的 HTML 注釋
8. Exploer 求你放過我吧……
方法一����,利用php htmlentities函數
例子
php防止XSS跨站腳本攻擊的方法:是針對非法的HTML代碼包括單雙引號等,使用htmlspecialchars()函數 。
在使用htmlspecialchars()函數的時候注意第二個參數, 直接用htmlspecialchars($string) 的話,第二個參數默認是ENT_COMPAT,函數默認只是轉化雙引號(“), 不對單引號(‘)做轉義.
所以,htmlspecialchars函數更多的時候要加上第二個參數, 應該這樣用: htmlspecialchars($string,ENT_QUOTES).當然,如果需要不轉化如何的引號,用htmlspecialchars($string,ENT_NOQUOTES).
另外, 盡量少用htmlentities, 在全部英文的時候htmlentities和htmlspecialchars沒有區別,都可以達到目的.但是,中文情況下, htmlentities卻會轉化所有的html代碼,連同里面的它無法識別的中文字符也給轉化了。
htmlentities和htmlspecialchars這兩個函數對 '之類的字符串支持不好,都不能轉化, 所以用htmlentities和htmlspecialchars轉化的字符串只能防止XSS攻擊,不能防止SQL注入攻擊.
所有有打印的語句如echo,print等 在打印前都要使用htmlentities() 進行過濾,這樣可以防止Xss,注意中文要寫出htmlentities($name,ENT_NOQUOTES,GB2312) 。
方法二�,什么也不多說我們給一個函數
例子
- function xss_clean($data){
-
- $data=str_replace(array('&','<','>'),array('&','<','>'),$data);
- $data=preg_replace('/(&#*\w+)[\x00-\x20]+;/u','$1;',$data);
- $data=preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data);
- $data=html_entity_decode($data,ENT_COMPAT,'UTF-8');
-
- $data=preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu','$1>',$data);
-
- $data=preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2nojavascript...',$data);
- $data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2novbscript...',$data);
- $data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u','$1=$2nomozbinding...',$data);
-
- $data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i','$1>',$data);
- $data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i','$1>',$data);
- $data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu','$1>',$data);
-
- $data=preg_replace('#</*\w+:\w[^>]*+>#i','',$data);
- do{
- $old_data=$data;
- $data=preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i','',$data);
- }while($old_data!==$data);
-
- return $data;
- }
方法三:
- <?php
-
-
- $_GET && SafeFilter($_GET);
- $_POST && SafeFilter($_POST);
- $_COOKIE && SafeFilter($_COOKIE);
-
- function SafeFilter (&$arr)
- {
-
- $ra=Array('/([/x00-/x08,/x0b-/x0c,/x0e-/x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
-
- if (is_array($arr))
- {
- foreach ($arr as $key => $value)
- {
- if (!is_array($value))
- {
- if (!get_magic_quotes_gpc())
- {
- $value = addslashes($value);
- }
- $value = preg_replace($ra,'',$value);
- $arr[$key] = htmlentities(strip_tags($value));
- }
- else
- {
- SafeFilter($arr[$key]);
- }
- }
- }
- }
- ?>
