XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击), XSS 攻击类似于 SQL 注入攻击,
是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略
其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当用
户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie
信息、破坏页面结
常见的恶意字符 XSS 输入:
1. XSS 输 入 通 常 包 含 JavaScript 脚 本 , 如 弹 出 恶 意 警 告 框 :
<script>alert("XSS");</script>
2. XSS 输入也可能是 HTML 代码段,譬如:
(1) 网页不停地刷新 <meta http-equiv="refresh" content="0;">
(2) 嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>
构、重定向到其它网站等。
方法:利用 php htmlentities()函数
php 防止 XSS 跨站脚本攻击的方法:是针对非法的 HTML 代码包括单双引号等,使用
htmlspecialchars()函数。
在 使 用 htmlspecialchars() 函 数 的 时 候 注 意 第 二 个 参 数 , 直 接 用
htmlspecialchars($string)的话,第二个参数默认是 ENT_COMPAT,函数默认只是转化
双引号("),不对单引号(')做转义。
所 以 , htmlspecialchars() 函 数 更 多 的 时 候 要 加 上 第 二 个 参 数 , 应 该 这 样 用 :
htmlspecialchars($string,ENT_QUOTES) 。 当 然 , 如 果 需 要 不 转 化 如 何 的 引 号 , 用
htmlspecialchars($string,ENT_NOQUOTES)。
另 外 , 尽 量 少 用 htmlentities(), 在 全 部 英 文 的 时 候 htmlentities() 和
htmlspecialchars()没有区别,都可以达到目的。但是,中文情况下, htmlentities()
却会转化所有的 html 代码,连同里面的它无法识别的中文字符也给转化了。
htmlentities()和 htmlspecialchars()这两个函数对单引号(')之类的字符串支持不
好,都不能转化, 所以用 htmlentities()和 htmlspecialchars()转化的字符串只能防
止 XSS 攻击,不能防止 SQL 注入攻击。
所有有打印的语句如 echo,print 等,在打印前都要使用 htmlentities()进行过滤,这
样可以防止 XSS,注意中文要写出 htmlentities($name,ENT_NOQUOTES,GB2312)。