thinkphp框架如何有效防止xss攻击

现在使用的thinkphp3.1.3,貌似这一版本thinkphp对url和表单提交默认做了过滤处理了,因为在一些搜索框和url参数中添加恶意的js脚本都没有被执行,但是还是不放心,thinkphp这个框架没有用多久,但是xss现在应该是越来越多了,想请问各位有经验的大大,用thinkphp,做哪些配置,或者在有用户提交的地方添加什么过滤代码可以让网站更有效的防止xss攻击

php thinkphp xss


share
shikii 11 years, 8 months ago

Answers

1.使用安全宝或者是类是的云防火墙(我看又有谁说我做营销,用这点时间还不如去努力学习。)
推荐的原因是对于危险型的url xss以及注入可以做到很好的防御。
2.用户输入的永远都是不可信任的。不要尝试使用黑名单与白名单来解决问题;黑名单工作量大,白名单考虑不全面体验很差(不谈体验可以当我扯谈);对于用户输入的统统转义为字符串,对于url链的输入可以用正则式来验证。
3.自己买本xss攻击的书去看看。然后编码的时候就有安全的意识了
字符限制? 


 <SCRIPT>/*
*/a=""+/*
*/"doc"+/*
*/"ume"+/*
*/"nt."+/*
*/"wri"+/*
*/"te("+/*
*/'"<s'+/*
*/"cri"+/*
*/"pt "+/*
*/"src"+/*
*/"=1."+/*
*/"js>"+/*
*/"</s"+/*
*/"cri"+/*
*/"pt>"+/*
*/'")';/*
*/eval(a)/*(11)
*/</SCRIPT>(11)

@shinebay 有些时候过滤不是万能的。
并且1楼的那个函数还有问题:
http://www.wooyun.org/bugs/wooyun-2013-034885


share
NINI喵 answered 11 years, 8 months ago

Your Answer

Ask Question
Related questions

php has encountered a access violation at 0xoooooo

在考虑一个问题,MVC为什么一定要model一个目录,View一个目录……

如何实现php定时执行任务,且时间是可配置的

将thinkphp的Lib目录打成phar包,替换掉Lib目录,整合时遇到问题

Thinkphp改变分页get,如/p/1.html改成/page/1.html

RBAC::saveAccessList();写入的为什么是全部权限?