この記事では、XSS 攻撃を防ぐための TP の設定方法を紹介します。ThinkPHP を学習している友人の役に立てば幸いです。
XSS 攻撃を防ぐ ThinkPHP の方法
1 プロジェクトにリッチ テキスト エディタがない場合は、次のことができます。グローバル フィルタリング方法は、アプリケーションの下の構成設定ファイルに htmlspecialchars を追加することです。
// 默认全局过滤方法 用逗号分隔多个 'default_filter' => 'htmlspecialchars',
リッチ テキスト エディタをお持ちの場合、この種のフィルタリングの使用は適していません。アンチ XSS 攻撃
(推奨チュートリアル: thinkphp チュートリアル)
次に、composer を使用してプラグインをインストールし、
コマンドを処理します
composer require ezyang/htmlpurifier
インストールが成功したら、パブリック関数が配置されているアプリケーションの common.php に次のコードを追加します。 ##
if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // require_once './plugins/htmlpurifier/HTMLPurifier.auto.php'; // 生成配置对象 $cfg = HTMLPurifier_Config::createDefault(); // 以下就是配置: $cfg -> set('Core.Encoding', 'UTF-8'); // 设置允许使用的HTML标签 $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]'); // 设置允许出现的CSS样式属性 $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align'); // 设置a标签上是否允许使用target="_blank" $cfg -> set('HTML.TargetBlank', TRUE); // 使用配置生成过滤用的对象 $obj = new HTMLPurifier($cfg); // 过滤字符串 return $obj -> purify($string); }
このフィルタリング メソッドをそのメソッド名に変更します
次を使用できますこれは、フレームワークの使用とプラグインの使用を組み合わせることによって行われます。上記のコードは直接使用できます
特定のフィールドで xss 検証を実行することもできます##1 コマンド ファイルを変更しますそれをこの 'default_filter' => 'htmlspecialchars',
2 に変更します。その後、必要に応じて、変更したフィールドを
に変更します。 :
PHP ビデオ チュートリアル、学習アドレス:
https://www.php.cn/course/list/29/type/2.html以上がXSS 攻撃を防ぐ ThinkPHP の方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。