使用HTML Purifier防止xss攻击
下载地址:http://htmlpurifier.org/download
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。
HTML Purifier是基于php 5所编写的HTML过滤器,支持自定义过滤规则,还可以把不标准的HTML转换为标准的HTML。
function HtmlPurifier($data){require_once "__STATIC__/plugin/htmlpurifier/linrary/HTMLPurifier.auto.php";$config = HTMLPurifier_Config::createDefault();//设置保留标签$config->set('Core.Encoding','UTF-8');$config->set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,lo,p[style],br,span[style],img[width|height|alt|src]');$config-set('CSS.AllowedProperties','font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');$config->set('HTML.TargetBlank',TRUE);$obj = new HTMLPurifier($config);//执行过滤return $obj->purify($data);
}
详细过滤参看官方说明:http://htmlpurifier.org/live/smoketests/xssAttacks.php
使用HTML Purifier防止xss攻击相关推荐
- Laravel—Purifier扩展包防止XSS攻击
HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击. 针对XSS跨站攻击,一般有两种方法避免 对用户提交的数据进行过滤 对显示数据进行 ...
- 使用HTML Purifier解决XSS问题
在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了.之前一直使用一个叫 RemoveXSS 的函数,该函数过滤得比较严格,很多 ...
- 关于XSS攻击及其防御
XSS XSS 是 Cross Site Scripting 跨站脚本攻击的意思,X是英文Cross的简称 什么叫做跨站,就是非自己网站,如果本网站运行了来自别的网站的东西就叫做XSS 举个例子,如下 ...
- 安全测试之xss攻击和mysql注入
xss概念: xss(Cross Site Script)跨站脚本攻击,为不和层叠样式表(css)混淆,写为xss 存在位置:web应用系统最常见软件安全漏洞 后果:代码植入到系统页面,篡改数据.盗取 ...
- vue 如何防止xss攻击 框架_LearningNotes-1/Vue/Vue中防止XSS脚本攻击 at master · axuu/LearningNotes-1 · GitHub...
Vue中防止XSS脚本攻击 最近写了一个博客评论模块,因为引入了表情包,所以就将原来的v-text的形式,改成了v-html,也就是渲染html标签,但是这样不可不免的会带来问题,就是XSS跨站脚本攻 ...
- 安全测试之XSS攻击
XSS (跨站脚本攻击)是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS.是一种网站应用程序的安全漏洞攻击,是代码注入的一种.它允许恶意用户将代码 ...
- AntiXSS - 支持Html同时防止XSS攻击
跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头.最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode). 但是如果想用户输入支持 ...
- 如何php防止XSS攻击
什么是XSS:这里通俗的讲,就像是SQL注入一样,XSS攻击也可以算是对HTML和JS的一种注入.你本来希望得到是从用户那得到一段有用的文本文字,但用户提交给你的却是别有用心的可执行javascrip ...
- 使用 PHP 构建的 Web 应用如何避免 XSS 攻击
本文首先简单介绍开发测试人员如何对 Web 应用进行 XSS 漏洞测试,如何借助工具绕过客户端 JavaScript 校验输入恶意数据:然后针对使用 PHP 语言构建的 Web 站点,从在输出端对动态 ...
最新文章
- NIO详解(十):FileChannel零拷贝技术
- Dockerfile常用指令
- 1.6 网络编程之 UDP通信
- SAP CRM 产品主数据搜索alternative ID type下拉菜单的渲染逻辑
- Oracle放大招:MySQL 即将支持 Hash Join
- vue项目原理分析-2:路由
- 小米向集团3904名员工授予7023万股票,最小入选员工仅24岁
- 如何安装python3.7.2_CentOS7下安装Python3及Pip3并保留Python2
- ThinkPHP在IIS下配置ISAPI伪静态去掉index.php
- 摄像头实时画面转接到web页面
- 机器人焊钳选型_焊接机器人选型资料
- 开源中国iOS客户端学习
- Java基础重温_06:Debug模式(打断点、下一步),基础练习案例(减肥计划if,switch版本、逢七跳过、不死神兔、百钱白鸡、数组元素(求和,索引位置,反转)、判断数组是否相同、评委打分)
- 重保防护 全力以赴丨一文看懂盛邦安全重保专项服务方案
- ActiveMQ--概述
- php API接口最基本的写法
- 计算机网络ip地址分类及含义
- LOL进游戏,游戏界面全黑(不是进入峡谷)解决办法(亲测)
- APK安装失败:[INSTALL_FAILED_VERIFICATION_FAILURE]
- finecms前台任意文件上传——getshell