thinkphp开发防XSS攻击

XSS（跨站脚本攻击）两种形式：输入JS代码或者HTML代码导致页面乱。

XSS（跨站脚本攻击）可以用于窃取其他用户的Cookie信息，要避免此类问题，可以采用如下解决方案：

• 直接过滤所有的JavaScript脚本；
• 转义Html元字符，使用htmlentities、htmlspecialchars等函数；
• 系统的扩展函数库提供了XSS安全过滤的remove_xss方法；

• 新版对URL访问的一些系统变量已经做了XSS处理。

用户提交的表单信息时候，该表单里边有可能存在相关的“代码”(html/css/js等代码)，这样代码会在信息显示的时候对页面效果造成干扰。

1、下载htmlpurifier，解压后将library文件夹放到ThinkPhp的插件文件夹并在分组的common文件夹中创建function.php

2、在function，php中创建防止xss攻击方法

3.我们可以将从post中得到的数据先通过hThinkphp系统自带的I（）方法来进行数据过滤然后在通过调用函数fanXSS进行过滤即可

举以下的例子：

在thinphp开发后台过程中需要添加编辑器，要让编辑器正常显示就要设置I函数不过滤。

现在的问题来了，如果不过滤就会被XSS攻击如果过滤在线编辑器就不好使了，解决的办法应该是有选择性的过滤，

我们可以一个开源的过滤的包：htmlpurifier包。

把下载的包解压到跟目录改名为HTMLpurifier

创建一个函数

然后修改配置文件config.php让I函数使用这个函数来过滤：

现在网站中I函数过滤时使用的就是我们写的这个函数：有选择性的过滤只过滤危险代码。

 

网站就很安全了！