今天小編就為大家?guī)?lái)一篇有關(guān)防御XSS攻擊的文章。小編覺(jué)得挺實(shí)用的，為此分享給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧。

創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營(yíng)銷，包括成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)、SEO優(yōu)化、網(wǎng)絡(luò)推廣、整站優(yōu)化營(yíng)銷策劃推廣、電子商務(wù)、移動(dòng)互聯(lián)網(wǎng)營(yíng)銷等。創(chuàng)新互聯(lián)為不同類型的客戶提供良好的互聯(lián)網(wǎng)應(yīng)用定制及解決方案，創(chuàng)新互聯(lián)核心團(tuán)隊(duì)10余年專注互聯(lián)網(wǎng)開(kāi)發(fā)，積累了豐富的網(wǎng)站經(jīng)驗(yàn)，為廣大企業(yè)客戶提供一站式企業(yè)網(wǎng)站建設(shè)服務(wù)，在網(wǎng)站建設(shè)行業(yè)內(nèi)樹(shù)立了良好口碑。

一：PHP直接輸出html的，可以采用以下的方法進(jìn)行過(guò)濾：

1.htmlspecialchars函數(shù)

2.htmlentities函數(shù)

3.HTMLPurifier.auto.php插件

4.RemoveXss函數(shù)（百度可以查到）

二：PHP輸出到JS代碼中，或者開(kāi)發(fā)Json API的，則需要前端在JS中進(jìn)行過(guò)濾：

1.盡量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()來(lái)輸出文本內(nèi)容

2.必須要用innerHTML等等函數(shù)，則需要做類似php的htmlspecialchars的過(guò)濾（參照@eechen的答案）

三：其它的通用的補(bǔ)充性防御手段

1.在輸出html時(shí)，加上Content Security Policy的Http Header

（作用：可以防止頁(yè)面被XSS攻擊時(shí)，嵌入第三方的腳本文件等）

（缺陷：IE或低版本的瀏覽器可能不支持）

2.在設(shè)置Cookie時(shí)，加上HttpOnly參數(shù)

（作用：可以防止頁(yè)面被XSS攻擊時(shí)，Cookie信息被盜取，可兼容至IE6）

（缺陷：網(wǎng)站本身的JS代碼也無(wú)法操作Cookie，而且作用有限，只能保證Cookie的安全）

3.在開(kāi)發(fā)API時(shí)，檢驗(yàn)請(qǐng)求的Referer參數(shù)

（作用：可以在一定程度上防止CSRF攻擊）

（缺陷：IE或低版本的瀏覽器中，Referer參數(shù)可以被偽造）

以上就是PHP防御XSS攻擊的方法了，看完之后是否有所收獲呢？如果想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊！

文章標(biāo)題：PHP防御XSS攻擊的方法有哪些？
文章鏈接：http://jinyejixie.com/article24/ipidje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、虛擬主機(jī)、網(wǎng)站排名、標(biāo)簽優(yōu)化、用戶體驗(yàn)、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)