利用PHP編程防範XSS跨站指令碼攻擊

來源:互聯網
上載者:User
國內不少論壇都存在跨站指令碼漏洞,國外也很多這樣的例子,甚至Google也出現過,不過在12月初時修正了。(編者註:關於跨站指令碼漏洞攻擊,讀者可參閱《詳解XSS跨站指令碼攻擊》)。跨站攻擊很容易就可以構造,而且非常隱蔽,不易被查覺(通常盜取資訊後馬上跳回原頁面)。
  如何攻擊,在此不作說明(也不要問我),主要談談如何防範。首先,跨站指令碼攻擊都是由於對使用者的輸入沒有進行嚴格的過濾造成的,所以我們必須在所有資料進入我們的網站和資料庫之前把可能的危險攔截。針對非法的HTML程式碼封裝括單雙引號等,可以使用htmlentities() 。
 

<?php
$str = "A 'quote' is <b>bold</b>";
// Outputs: A 'quote' is <b>bold</b>
echo htmlentities($str);
// Outputs: A 'quote' is <b>bold</b>
echo htmlentities($str, ENT_QUOTES);
?>

  這樣可以使非法的指令碼失效。
  但是要注意一點,htmlentities()預設編碼為 ISO-8859-1,如果你的非法指令碼編碼為其它,那麼可能無法過濾掉,同時瀏覽器卻可以識別和執行。這個問題我先找幾個網站測試後再說。
  這裡提供一個過濾非法指令碼的函數:

function RemoveXSS($val) {
 // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
 // this prevents some character re-spacing such as <javascript>
 // note that you have to handle splits with , , and later since they *are* allowed in some inputs
 $val = preg_replace('/([x00-x08][x0b-x0c][x0e-x20])/', '', $val);
 // straight replacements, the user should never need these since they're normal characters
 // this prevents like <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&
    _#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>
 $search = 'abcdefghijklmnopqrstuvwxyz';
 $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
 $search .= '1234567890!@#$%^&*()';
 $search .= '~`";:? /={}[]-_|'';
相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.