最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
ThinkPHP防范XSS跨站攻击方法介绍
时间:2022-06-25 02:19:39 编辑:袖梨 来源:一聚教程网
如下的例子,在服务器上有如下代码:
| 代码如下 | 复制代码 |
|
index.php?s=1%3Cbody+onload=alert(1)%3E 或 article.php?title= |
|
其中m的值是一个不存在的module,同时是一个完全的script,在异常错误页面中被执行实现XSS跨站攻击。
防范方法:
找到异常错误页面模板ThinkException.tpl.php(2,x),think_exception.tpl(3.x)有两个地方要修改:
| 代码如下 | 复制代码 |
|
第57行 echo($_SERVER['PHP_SELF']) |
|
另外,马上要发布的3.0官方已经对TP变量GROUP_NAME,MODULE_NAME,ACTION_NAME,__URL__,__SELF__,__APP__,$_SERVER['PHP_SELF']做了安全处理
ThinkPhp官方建义
XSS(跨站脚本攻击)可以用于窃取其他用户的Cookie信息,要避免此类问题,可以采用如下解决方案:
直接过滤所有的JavaScript脚本;
转义Html元字符,使用htmlentities、htmlspecialchars等函数;
系统的扩展函数库提供了XSS安全过滤的remove_xss方法;
新版对URL访问的一些系统变量已经做了XSS处理。
相关文章
- 《差不多高手》建筑玩法详细介绍 06-15
- 《弹壳特攻队》第40关打法配置指南 06-15
- 《幻世与冒险》快速升级如何 06-15
- 《航海王壮志雄心》音效质量设置哪些方法效果更好 06-15
- COMP币注册教程-2025币安交易所账号全攻略 06-15
- RXS币怎么操作?2025OKX交易所新手投资 06-15