PHP 防xss攻擊

標籤：move   json   ie6   無法   head   firefox   等等   inner   低版本   

1. PHP直接輸出html的，可以採用以下的方法進行過濾：

   1.htmlspecialchars函數2.htmlentities函數3.HTMLPurifier.auto.php外掛程式4.RemoveXss函數（百度可以查到）

2. PHP輸出到JS代碼中，或者開發Json API的，則需要前端在JS中進行過濾：

   1.盡量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()來輸出常值內容2.必須要用innerHTML等等函數，則需要做類似php的htmlspecialchars的過濾（參照@eechen的答案）

3. 其它的通用的補充性防禦手段

   1.在輸出html時，加上Content Security Policy的Http Header（作用：可以防止頁面被XSS攻擊時，嵌入第三方的指令檔等）（缺陷：IE或低版本的瀏覽器可能不支援）2.在設定Cookie時，加上HttpOnly參數（作用：可以防止頁面被XSS攻擊時，Cookie資訊被盜取，可相容至IE6）（缺陷：網站本身的JS代碼也無法操作Cookie，而且作用有限，只能保證Cookie的安全）3.在開發API時，檢驗請求的Referer參數（作用：可以在一定程度上防止CSRF攻擊）（缺陷：IE或低版本的瀏覽器中，Referer參數可以被偽造）

PHP 防xss攻擊