首页>网络技术>网站安全>php预防XSS攻击,ajax跨域攻击的方法
回复
« 返回列表
灯火互联
灯火互联
管理员
管理员
  • 注册日期2011-07-27
  • 发帖数41778
  • QQ
  • 火币41290枚
  • 粉丝1086
  • 关注100
写私信 打招呼
  • 终身成就奖
  • 最爱沙发
  • 忠实会员
  • 灌水天才奖
  • 贴图大师奖
  • 原创先锋奖
  • 特殊贡献奖
  • 宣传大使奖
  • 优秀斑竹奖
  • 社区明星
阅读:4288回复:0

php预防XSS攻击,ajax跨域攻击的方法

楼主#
更多 发布于:2014-03-10 10:14
发帖际遇:灯火互联领悟到发帖可以增加积分,获得5枚火币
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,摘自某开发框架,相比于仅仅使用内置函数应该还是够强了的吧。 

01        function xss_clean($data){
02        // Fix &entityn;
03        $data=str_replace(array('&','<','>'),array('&','<','>'),$data);
04        $data=preg_replace('/(&#*w+)[x00-x20]+;/u','$1;',$data);
05        $data=preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data);
06        $data=html_entity_decode($data,ENT_COMPAT,'UTF-8');
07        // Remove any attribute starting with "on" or xmlns
08        $data=preg_replace('#(<[^>]+?[x00-x20"'])(?:on|xmlns)[^>]*+>#iu','$1>',$data);
09        // Remove javascript: and vbscript: protocols
10        $data=preg_replace('#([a-z]*)[x00-x20]*=[x00-x20]*([`'"]*)[x00-x20]*j[x00-x20]*a[x00-x20]*v[x00-x20]*a[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu','$1=$2nojavascript...',$data);
11        $data=preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*v[x00-x20]*b[x00-x20]*s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:#iu','$1=$2novbscript...',$data);
12        $data=preg_replace('#([a-z]*)[x00-x20]*=(['"]*)[x00-x20]*-moz-binding[x00-x20]*:#u','$1=$2nomozbinding...',$data);
13        // Only works in IE: <span style="width:expression(alert('Ping!'));"></span> 14        $data=preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?expression[x00-x20]*([^>]*+>#i','$1>',$data);
15        $data=preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?behaviour[x00-x20]*([^>]*+>#i','$1>',$data);
16        $data=preg_replace('#(<[^>]+?)style[x00-x20]*=[x00-x20]*[`'"]*.*?s[x00-x20]*c[x00-x20]*r[x00-x20]*i[x00-x20]*p[x00-x20]*t[x00-x20]*:*[^>]*+>#iu','$1>',$data);
17        // Remove namespaced elements (we do not need them)
18        $data=preg_replace('#</*w+:w[^>]*+>#i','',$data);
19        // http://www.phpernote.com/
20        do{// Remove really unwanted tags
21        $old_data=$data;
22        $data=preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i','',$data);
23        }while($old_data!==$data);
24        // we are done...
25        return $data;
26        }
喜欢0 评分0
淘宝天猫隐藏优惠券地址
回复
游客

Powered by atcpu.com ©2008-2021

灯火互联网 蜀ICP备13028548号

手机认证个人空间个人相册音乐电台音乐畅听网站终身会员手机吉凶在线YY百宝箱
返回顶部