PHP安全防护web攻击【跨网站脚本攻击XSS】

攻击者将恶意代码注入web页面,当别人打开网页时会执行这段恶意代码,攻击者得到一些操作权限,cookie等各种内容。一般这些恶意代码都是一些javascript或者其他脚本语言。

eg:

$title = $_GET['title'];
echo $title;

如果攻击者通过url传入一段javascript脚本为<script>[code]</script>,php以get方式接收参数后就会执行这段代码。
XSS常用的攻击方式有:

  1. 获取cookie,获取敏感性信息
    2.利用iframe、XMLHttpRequest等方式,以用户的身份执行一些管理动作

3.利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动

防范方法:

使用htmlspecialchars函数将特殊字符转换成HTML编码,过滤输出的变量

添加新评论