您的当前位置:首页>全部文章>文章详情

ThinkPHP6防止XSS攻击的方案

发表于:2022-03-09 13:16:03浏览:2765次TAG: #ThinkPHP #PHP #XSS

跨站脚本攻击(Cross Site Scripting),攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,XSS(跨站脚本攻击)可以用于窃取其他用户的Cookie信息,要避免此类问题,可以采用如下解决方案,下面4点是ThinkPHP文档的建议方案:

  1. 直接过滤所有的JavaScript脚本;
  2. 转义Html元字符,使用htmlentities、htmlspecialchars等函数;
  3. 系统的扩展函数库提供了XSS安全过滤的remove_xss方法;
  4. 新版对URL访问的一些系统变量已经做了XSS处理。

针对这些建议,我们可以分两种情况处理:

一、如果您的项目没有富文本编辑器,然后就可以使用全局过滤方法,在config目录下的app配置文件加上htmlspecialchars即可。

  // 默认全局过滤方法 用逗号分隔多个
    'default_filter'         => 'htmlspecialchars',

二、如果有富文本编辑器的话,就不适合使用第一种防XSS攻击方式,那么就使用 composer 安装插件来处理。

首先使用composer执行命令

composer require ezyang/htmlpurifier

在app/common.php公共文件中定义remove_xss函数。

if (!function_exists('remove_xss')) {
    //使用htmlpurifier防范xss攻击
    function remove_xss($string){
        //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件
        //require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
        // 生成配置对象
        $cfg = HTMLPurifier_Config::createDefault();
        // 以下就是配置:
        $cfg -> set('Core.Encoding', 'UTF-8');
        // 设置允许使用的HTML标签
        $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
        // 设置允许出现的CSS样式属性
        $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
        // 设置a标签上是否允许使用target="_blank"
        $cfg -> set('HTML.TargetBlank', TRUE);
        // 使用配置生成过滤用的对象
        $obj = new HTMLPurifier($cfg);
        // 过滤字符串
        return $obj -> purify($string);
    }
}

最后!是调用方式。

public function login()
    {
        # 参数一为要接收的值,参数二为默认值,参数三为方法名
        $data = request()->post('','','remove_xss');
        # 向数据库新增数据
        User::createUser($data);
        # 返回视图层查看结果
        return redirect('listData');
    }

另外,注意一下
thinkphp6的view默认显示的内容是过滤HTML标签的,如果页面要恢复用原本的数据输出需要raw方法,如:
{$content|raw}