PHP防御XSS攻击的终极解决方案

Posted 2020-09-02

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了PHP防御XSS攻击的终极解决方案相关的知识，希望对你有一定的参考价值。

最近测试XSS攻击修复时，找到的一个比较不错的文章，分享给大家。

Update20151202：

感谢大家的关注和回答，目前我从各种方式了解到的防御方法，整理如下：

php直接输出html的，可以采用以下的方法进行过滤：

1
1.htmlspecialchars函数

2
 
3
2.htmlentities函数

4
 
5
3.HTMLPurifier.auto.php插件

6
 
7
4.RemoveXss函数（百度可以查到）

PHP输出到JS代码中，或者开发Json API的，则需要前端在JS中进行过滤：

1
1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容

2
 
3
2.必须要用innerHTML等等函数，则需要做类似php的htmlspecialchars的过滤（参照@eechen的答案）

其它的通用的补充性防御手段

01
1.在输出html时，加上Content Security Policy的Http Header

02
 
03
（作用：可以防止页面被XSS攻击时，嵌入第三方的脚本文件等）

04
（缺陷：IE或低版本的浏览器可能不支持）

05
 
06
2.在设置Cookie时，加上HttpOnly参数

07
 
08
（作用：可以防止页面被XSS攻击时，Cookie信息被盗取，可兼容至IE6）

09
（缺陷：网站本身的JS代码也无法操作Cookie，而且作用有限，只能保证Cookie的安全）

10
 
11
3.在开发API时，检验请求的Referer参数

12
 
13
（作用：可以在一定程度上防止CSRF攻击）

14
（缺陷：IE或低版本的浏览器中，Referer参数可以被伪造）

4、补充一个xss过滤的函数。。

01
function clean_xss(&$string, $low = False)

02
    {

03
        if (! is_array ( $string ))

04
        {

05
            $string = trim ( $string );

06
            $string = strip_tags ( $string );

07
            $string = htmlspecialchars ( $string );

08
            if ($low)

09
            {

10
                return True;

11
            }

12
            $string = str_replace ( array (‘"‘, "\\", "‘", "/", "..", "../", "./", "//" ), ‘‘, $string );

13
            $no = ‘/%0[0-8bcef]/‘;

14
            $string = preg_replace ( $no, ‘‘, $string );

15
            $no = ‘/%1[0-9a-f]/‘;

16
            $string = preg_replace ( $no, ‘‘, $string );

17
            $no = ‘/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S‘;

18
            $string = preg_replace ( $no, ‘‘, $string );

19
            return True;

20
        }

21
        $keys = array_keys ( $string );

22
        foreach ( $keys as $key )

23
        {

24
            clean_xss ( $string [$key] );

25
        }

26
    }

技术分享