-
什么是xss攻击?如何防范?
XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击), XSS 攻击类似于 SQL 注入攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当用 户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。
1. XSS 输 入 通 常 包 含 JavaScript 脚 本 , 如 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script>
2. XSS 输入也可能是 HTML 代码段,譬如:
(1) 网页不停地刷新 <meta http-equiv=’refresh’ content=”0;”>
(2) 嵌入其它网站的链接 构、重定向到其它网站等。
<iframe scr=http://xxxx width=”” height=””></iframe>
解决方法:
利用 php htmlentities()函数 php 防止 XSS 跨站脚本攻击的方法:是针对非法的 HTML 代码包括单双引号等,使用 htmlspecialchars()函数。 在 使 用 htmlspecialchars() 函 数 的 时 候 注 意 第 二 个 参 数 , 直 接 用 htmlspecialchars($string)的话,第二个参数默认是 ENT_COMPAT,函数默认只是转化 双引号("),不对单引号(')做转义。 所 以 , htmlspecialchars()函 数 更多的 时候要 加 上第 二个 参 数,应该 这样用 : htmlspecialchars($string,ENT_QUOTES)。当然,如果需要不转化如何的引号,用 htmlspecialchars($string,ENT_NOQUOTES)。 另 外 , 尽 量 少 用 htmlentities(), 在 全 部 英 文 的 时 候 htmlentities() 和 htmlspecialchars()没有区别,都可以达到目的。但是,中文情况下, htmlentities() 却会转化所有的 html 代码,连同里面的它无法识别的中文字符也给转化了。 htmlentities()和 htmlspecialchars()这两个函数对单引号(')之类的字符串支持不 好,都不能转化, 所以用 htmlentities()和 htmlspecialchars()转化的字符串只能防 止 XSS 攻击,不能防止 SQL 注入攻击。 所有有打印的语句如 echo,print 等,在打印前都要使用 htmlentities()进行过滤,这 样可以防止 XSS,注意中文要写出 htmlentities($name,ENT_NOQUOTES,GB2312)。