2. 程式人生 > >防XSS攻擊

防XSS攻擊

阿新 發佈:2018-05-08
after while menu time IT upd RM one rac

remove_xss

function remove_xss($val) {
   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
   // this prevents some character re-spacing such as <java\0script>
   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
   $val = preg_replace(‘/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/‘, ‘‘, $val);

   // straight replacements, the user should never need these since they‘re normal characters
   // this prevents like <IMG SRC=@avascript:alert(‘XSS‘)>
   $search = ‘abcdefghijklmnopqrstuvwxyz‘;
   $search .= ‘ABCDEFGHIJKLMNOPQRSTUVWXYZ‘;
   $search .= ‘1234567890!@#$%^&*()‘;
   $search .= ‘~`";:?+/={}[]-_|\‘\\‘;
   for ($i = 0; $i < strlen($search); $i++) {
      // ;? matches the ;, which is optional
      // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars

      // @ @ search for the hex values
      $val = preg_replace(‘/(&#[xX]0{0,8}‘.dechex(ord($search[$i])).‘;?)/i‘, $search[$i], $val); // with a ;
      // @ @ 0{0,7} matches ‘0‘ zero to seven times
      $val = preg_replace(‘/(?{0,8}‘.ord($search[$i]).‘;?)/‘, $search[$i], $val); // with a ;
   }

   // now the only remaining whitespace attacks are \t, \n, and \r
   $ra1 = array(‘javascript‘, ‘vbscript‘, ‘expression‘, ‘applet‘, ‘meta‘, ‘xml‘, ‘blink‘, ‘link‘, ‘style‘, ‘script‘, ‘embed‘, ‘object‘, ‘iframe‘, ‘frame‘, ‘frameset‘, ‘ilayer‘, ‘layer‘, ‘bgsound‘, ‘title‘, ‘base‘);
   $ra2 = array(‘onabort‘, ‘onactivate‘, ‘onafterprint‘, ‘onafterupdate‘, ‘onbeforeactivate‘, ‘onbeforecopy‘, ‘onbeforecut‘, ‘onbeforedeactivate‘, ‘onbeforeeditfocus‘, ‘onbeforepaste‘, ‘onbeforeprint‘, ‘onbeforeunload‘, ‘onbeforeupdate‘, ‘onblur‘, ‘onbounce‘, ‘oncellchange‘, ‘onchange‘, ‘onclick‘, ‘oncontextmenu‘, ‘oncontrolselect‘, ‘oncopy‘, ‘oncut‘, ‘ondataavailable‘, ‘ondatasetchanged‘, ‘ondatasetcomplete‘, ‘ondblclick‘, ‘ondeactivate‘, ‘ondrag‘, ‘ondragend‘, ‘ondragenter‘, ‘ondragleave‘, ‘ondragover‘, ‘ondragstart‘, ‘ondrop‘, ‘onerror‘, ‘onerrorupdate‘, ‘onfilterchange‘, ‘onfinish‘, ‘onfocus‘, ‘onfocusin‘, ‘onfocusout‘, ‘onhelp‘, ‘onkeydown‘, ‘onkeypress‘, ‘onkeyup‘, ‘onlayoutcomplete‘, ‘onload‘, ‘onlosecapture‘, ‘onmousedown‘, ‘onmouseenter‘, ‘onmouseleave‘, ‘onmousemove‘, ‘onmouseout‘, ‘onmouseover‘, ‘onmouseup‘, ‘onmousewheel‘, ‘onmove‘, ‘onmoveend‘, ‘onmovestart‘, ‘onpaste‘, ‘onpropertychange‘, ‘onreadystatechange‘, ‘onreset‘, ‘onresize‘, ‘onresizeend‘, ‘onresizestart‘, ‘onrowenter‘, ‘onrowexit‘, ‘onrowsdelete‘, ‘onrowsinserted‘, ‘onscroll‘, ‘onselect‘, ‘onselectionchange‘, ‘onselectstart‘, ‘onstart‘, ‘onstop‘, ‘onsubmit‘, ‘onunload‘);
   $ra = array_merge($ra1, $ra2);

   $found = true; // keep replacing as long as the previous round replaced something
   while ($found == true) {
      $val_before = $val;
      for ($i = 0; $i < sizeof($ra); $i++) {
         $pattern = ‘/‘;
         for ($j = 0; $j < strlen($ra[$i]); $j++) {
            if ($j > 0) {
               $pattern .= ‘(‘;
               $pattern .= ‘(&#[xX]0{0,8}([9ab]);)‘;
               $pattern .= ‘|‘;
               $pattern .= ‘|(?{0,8}([9|10|13]);)‘;
               $pattern .= ‘)*‘;
            }
            $pattern .= $ra[$i][$j];
         }
         $pattern .= ‘/i‘;
         $replacement = substr($ra[$i], 0, 2).‘<x>‘.substr($ra[$i], 2); // add in <> to nerf the tag
         $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
         if ($val_before == $val) {
            // no replacements were made, so exit the loop
            $found = false;
         }
      }
   }
   return $val;
}

  

strip_tags

strip_tags — 從字符串中去除 HTML 和 PHP 標記

說明

string strip_tags ( string $str [, string $allowable_tags ] )

該函數嘗試返回給定的字符串 str 去除空字符、HTML 和 PHP 標記後的結果。它使用與函數 fgetss() 一樣的機制去除標記

參數

str

輸入字符串。

allowable_tags

使用可選的第二個參數指定不被去除的字符列表。

Note:

HTML 註釋和 PHP 標簽也會被去除。這裏是硬編碼處理的,所以無法通過 allowable_tags 參數進行改變。

返回值

返回處理後的字符串。

htmlspecialchars

htmlspecialchars — 將特殊字符轉換為 HTML 實體

說明

string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = TRUE ]]] )
& (& 符號) &amp;
" (雙引號) &quot;,除非設置了 ENT_NOQUOTES
(單引號) 設置了 ENT_QUOTES 後, &#039; (如果是 ENT_HTML401) ,或者 &apos; (如果是 ENT_XML1ENT_XHTMLENT_HTML5)。
< (小於) &lt;
> (大於) &gt;

參數

string

待轉換的 string。

返回值

轉換後的 string。

防XSS攻擊

相關推薦

XSS攻擊

after while menu time IT upd RM one rac remove_xss function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(

【前端安全】JavaScriptXSS攻擊

什麼是XSS XSS(Cross Site Scripting),跨站指令碼攻擊,是一種允許攻擊者在另外一個使用者的瀏覽器中執行惡意程式碼指令碼的指令碼注入式攻擊。本來縮小應該是CSS,但為了和層疊樣式(Cascading Style Sheet,CSS)有所區分,故稱XS

SpringBootXSS攻擊

1 . pom中增加依賴 <!-- xss過濾元件 --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifact

ASP.NET(C#)後臺安全登陸程式碼(XSS攻擊\萬能密碼漏洞)

string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.T

PHP中XSS攻擊sql注入

SQL注入如何防? TP中的底層已經做了防SQL注入的操作,只要我們操作資料庫時使用TP提供給我們的方法就不會有問題,如新增商品時我們呼叫了add方法。唯一要注意的就是如果我們自己拼SQL執行時就要自己來過濾了。 總結:如果要自己拼SQL語句,一定要自己再過濾一下【add

js 前端xss攻擊——百度UEditor解決方案

  xss跨站指令碼攻擊(Cross Site Scripting),是一種經常出現在web應用中的電腦保安漏洞,指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時,指令碼就會在使用者的瀏覽器上執行,從而達到攻擊者的目的。比如

js html程式碼轉譯xss攻擊

function safeHtml(a){//轉譯html程式碼 var s=""; for(var i=0;i<a.length;i++){ var arg=S

關於在線文本編輯器XSS註入攻擊問題

使用 行處理 som 註入攻擊 .get str 代碼 自動 這樣的 跨站腳本攻擊,又稱XSS代碼攻擊,也是一種常見的腳本註入攻擊。例如在下面的界面上,很多輸入框是可以隨意輸入內容的,特別是一些文本編輯框裏面,可以輸入例如<script>alert(‘這是一個頁

php對前臺提交的表單資料做安全處理(SQL注入和XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

安全防禦之xss、SQL注入、與CSRF攻擊

XSS攻擊 個人理解,專案中最普通的就是通過輸入框表單,提交js程式碼,進行攻擊例如在輸入框中提交 <script>alert("我是xss攻擊");</script>,如果沒有防御措施的話,就會在表單提交之後,彈出彈窗 防禦措施,目前我主要是用一個過濾器,將特殊字元進行轉

JAVA WEB中處理SQL注入|XSS跨站指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

關於xss攻擊

訪問者 登錄 pan 文章 數據 參數 innerhtml 興趣 成功 關於xss攻擊 網上相關的介紹很多,一搜索也是一大堆,這裏我就對自己感興趣的一些內容做個總結。 成因:xss是將惡意代碼(多是JavaScript)插入html代碼中。 分類: 1、 反射型 2

xss攻擊與防禦

font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab

XSS攻擊

aid splay post including itl ati lease one doc XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往web頁面裏插入惡意的html代碼,當用戶瀏覽該頁之時,嵌入其中web裏面的html

開啟CSP網頁安全政策防止XSS攻擊

使用 interval party tex cnblogs png 內嵌腳本 target span 一、簡介   CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發者定義的安全性政策申明,通過CSP所約束的責任指定可信的內容來源,

特殊字符的過濾,防止xss攻擊

factor change 源碼 ive ride ray react list css 概念 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算

XSS攻擊過程

spa com avi 訪問 表單 腳本 htm 網站服務 ast 大多數人對於XSS的原理有一個基本認識,這裏不再重復,只給出一個能夠演示其原理的完整樣例。 1 角色分配 有XXS漏洞的網站,IP地址http://127.0.0.1/dvwa/DVWA-master,P

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

Linux系統CC攻擊自動拉黑IP增強版Shell腳本

png lac 分鐘 自動 style -h sys linux 間隔 一、Shell代碼 #!/bin/bash #Author:ZhangGe #Desc:Auto Deny Black_IP Script. #Date:2014-11-05 #取得參數$1為並發閾值

XSS攻擊原理以及防護

nbsp mage site 返回 cors ges 跨站腳本攻擊 流程圖 發送請求 XSS:跨站腳本攻擊(corss site scripting)的危害:可以盜取各類用戶的賬號,如用戶網銀賬號、各類管理員賬號 盜取企業重要具有商業價值的資料,非法轉賬,控制受害者機器向其