php安全(二) xss攻擊

2021-08-20 08:16:40 字數 1085 閱讀 8846

xss全稱為 cross site scripting,

。它指的是惡意攻擊者往web頁面裡插入惡意html**,當使用者瀏覽該頁之時,嵌入其中web裡面的html**會被執行,進而達到某些人的攻擊目的。

分類2、xss儲存型攻擊,惡意**被儲存到目標**的伺服器中,這種攻擊具有較強的穩定性和永續性,比較常見場景是在部落格,論壇等社交**上,但oa系統,和crm系統上也能看到它身影,比如:某crm系統的客戶投訴功能上存在xss儲存型漏洞,黑客提交了惡意攻擊**,當系統管理員檢視投訴資訊時惡意**執行,竊取了客戶的資料,然而管理員毫不知情,這就是典型的xss儲存型攻擊。

危害

1.竊取cookies,讀取目標**的cookie傳送到黑客的伺服器上

2.讀取使用者未公開的資料,如果:郵件列表或者內容、系統的客戶資料,聯絡人列表等等

防禦

1、最簡單的處理辦法,只需要在接受資料處理的時候用上過濾函式htmlspecialchars,這個函式會把**中的特殊字元轉義成html實體,輸出的時候就不會影響頁面了

htmlspecialchars($_post['content']);
2、另一種方法是直接過濾掉html標籤,這裡要用到正規表示式

<?php

$rege = '/<\/?[^>]+>/';

$result = preg_replace($rege,"",$_post['content']);

echo $result;

?>

3、php提供了乙個內建的strip_tags函式可以出去字串中html和php標籤,僅保留引數中指定的標籤

<?php

$str = 'test parjlkasdf

other text';

echo strip_tags($str);

echo "

"; echo strip_tags($str,'');//允許p標籤和a標籤

?>

web安全 XSS攻擊

xss xss,即為 cross site scripting 中文名為跨站指令碼 不使用css縮寫是為了與層疊樣式表區分 是發生在目標使用者的瀏覽器層面上的,當渲染dom樹的過程成執行了不在預期內的js 時,就發生了xss攻擊。xss分為反射型xss,儲存型xss和dom xss 1 反射型xss...

php防範XSS攻擊

跨站指令碼攻擊 cross site scripting 攻擊者往web頁面裡插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的目的。模擬過程 新增功能中,請求引數值包含script標籤js 新增成功之後,資料表中 訪問新增的這條資料,j...

web安全之xss攻擊

xss攻擊的全稱是cross site scripting xss 攻擊,是一種注入式攻擊。基本的做法是把惡意 注入到目標 由於瀏覽器在開啟目標 的時候並不知道哪些指令碼是惡意的,所以瀏覽器會無差別執行惡意指令碼,從而導致使用者資訊和一些敏感資訊被盜取和洩漏。xss一般分為兩種型別,持久化的xss和...