%3c %3e 转换html,防止基本的XSS攻击 滤掉HTML标签
/**
*防止基本的XSS攻击 滤掉HTML标签
*将HTML的特殊字符转换为了HTML实体htmlentities
*将#和%转换为他们对应的实体符号
*加上了$length参数来限制提交的数据的最大长度
*/
function transform_HTML($string, $length = null) {
// Helps prevent XSS attacks
// Remove dead space.
$string = trim($string);
// Prevent potential Unicode codec problems.
$string = utf8_decode($string);
// HTMLize HTML-specific characters.
$string = htmlentities($string, ENT_NOQUOTES);
$string = str_replace("#", "#", $string);
$string = str_replace("%", "%", $string);
$length = intval($length);
if ($length > 0) {
$string = substr($string, 0, $length);
}
return $string;
}
/*
// eg:
$string = " >< > < \n /n \. \\ \ %22%3e %3c%53%43%52%49%5 0%54%3e%44%6f%73%6f%6d%65%74%68%6 9%6e%67%6d%61%6c%69%63%69%6 f%75%73%3c%2f%53%43%52%49%50%54%3e";
echo $string;
echo ‘
‘;
echo transform_HTML($string);
*/
/*
输出 $string:
>< > < /n \. \ \ %22%3e %3c%53%43%52%49%5 0%54%3e%44%6f%73%6f%6d%65##%74%68%6 9%6e%67%6d%61%6c%69%63%69%6 f%75%73%3c%2f%53%43%52%49%50%54%3e
输出 transform_HTML($string):
>< > < /n \. \ \ %22%3e %3c%53%43%52%49%5 0%54%3e%44%6f%73%6f%6d%65##%74%68%6 9%6e%67%6d%61%6c%69%63%69%6 f%75%73%3c%2f%53%43%52%49%50%54%3e
*/
原文:http://www.cnblogs.com/yhdsir/p/4648480.html
%3c %3e 转换html,防止基本的XSS攻击 滤掉HTML标签相关推荐
- %3c %3e 转换html,使用JavaScript将HTML转换为data:text / html链接
数据URI的特征 甲数据-URI与MIME类型text/html必须是在其中一种格式: data:text/html, data:text/html;charset=UTF-8, 不需要Base-64 ...
- 网络安全(2) -- 关于一次XSS攻击-图片(img标签)的onerror事件
因为最近在学习web安全,出于好奇,尝试对CSDN进行了XSS注入,没想到真的成功了. 操作步骤: 直接找一篇博客,在底下评论 <img src="pic.gif" οner ...
- xss攻击-面向前端的安全攻击 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 web安全
文章目录 XSS简介 测试环境 XSS工具步骤与分类 XSS用到的一些HTML和JS HTML表单文本框介绍 探测xss 反射型XSS 常用的反射型XSS攻击方法 闭合标签 使用下拉菜单 使用隐藏输入 ...
- mysql将%3c%3e转义_ESAPI学习笔记
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想.比如, ...
- html获取cookie_知了汇智《XSS攻击-盗取cookie实战》课程文档讲解
文章来源:知了汇智冯老师 今天是<web安全-XSS攻击>系列的最后一篇啦,希望大家好好学习哦~ XSS之 知了汇智-禁卫实验室(GoDun.F) 1. 编写获取cookie的代码cook ...
- springboot2.x使用Jsoup防 XSS 攻击
后端应用经常接收各种信息参数,例如评论,回复等文本内容.除了一些场景下面,可以特定接受的富文本标签和属性之外(如:b,ul,li,h1, h2, h3-),需要过滤掉危险的字符和标签,防止xss攻击. ...
- XSS攻击绕过过滤方法大全(转)
XSS攻击绕过过滤方法大全(约100种) 文章目录 XSS攻击绕过过滤方法大全(约100种) 1.XSS定位器 2.XSS定位器(短) 3.无过滤绕过 4.利用多语言进行过滤绕过 5.通过JavaSc ...
- 安全测试之XSS攻击
XSS (跨站脚本攻击)是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS.是一种网站应用程序的安全漏洞攻击,是代码注入的一种.它允许恶意用户将代码 ...
- java 过滤攻击报文_Spring Boot XSS 攻击过滤插件使用
XSS 是什么 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSS,XSS ...
最新文章
- Machine Learning | (2) sklearn数据集与机器学习组成
- hexo d 部署博客时出错
- 机器学习 LR中的参数迭代公式推导——极大似然和梯度下降
- java类和对象实例对象_Java类、对象和实例的理解
- 全面理解python中self的用法
- python文件目录操作操作_Python基础之文件目录操作
- 真的不值得重视吗?ETH Zurich博士重新审视贝叶斯深度学习先验
- [翻译]Scott Mitchell 的ASP.NET 2.0数据教程之十二:在GridView控件中使用TemplateField
- 网站通过了QQ安全认证了
- 计算机科学与技术a类学科,清华大学a类学科有哪些?附清华a类学科名单
- python 基础 集合
- python查找手册
- java山上挑水_java编程:山上有一口缸可以装50升水,现在有15升。老和尚叫小和尚下山挑水,每次挑5升,要挑几次...
- 【文化课每周学习记录】2019.3.10——2019.3.16
- 优化模型验证关键代码06:多行程旅行商问题(mTSP)
- ToF 3D视觉传感技术详解、应用场景和市场前景
- Endnote: 如何区分中英文期刊
- php eot html,PHP eot
- 虚拟机安装python3_虚拟机如何安装python
- 【b302】侦探推理
热门文章
- mysql10---索引优化
- 4.2 js没有块级作用域
- jquery的一点点认识
- 手游的巨头时代,中小厂商该何去何从?
- 【Ajax技术】JQuery的应用与高级调试技巧
- matlab实现图片类型的转换
- 计算机通过逻辑电路实现运算,计算机组成与体系结构数据表示与运算算法和逻辑电路实现.ppt...
- 打包vue项目时报错:Expected indentation of 6 spaces but found 10
- swoole异步mysql有什么用_php如何使用SwooleTaskWorker实现异步操作Mysql(代码)
- Spring在SSH中的角色和作用