ThinkPHP如何防止XSS攻擊

小編給大家分享一下ThinkPHP如何防止XSS攻擊，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

ThinkPHP防止XSS攻擊的方法

1 如果您的項目沒有富文本編輯器 然后就可以使用全局過濾方法 在application下面的config配置文件 加上 htmlspecialchars

// 默認全局過濾方法 用逗號分隔多個
'default_filter' => 'htmlspecialchars',

如果有富文本編輯器的話 就不適合 使用這種防XSS攻擊

那么使用 composer 安裝插件來處理

命令

composer require ezyang/htmlpurifier

安裝成功以后在application 下面的 common.php 放公共函數(shù)的地方添加如下代碼

if (!function_exists('remove_xss')) {
    //使用htmlpurifier防范xss攻擊
    function remove_xss($string){
    //composer安裝的，不需要此步驟。相對index.php入口文件，引入HTMLPurifier.auto.php核心文件
    // require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
    // 生成配置對象
    $cfg = HTMLPurifier_Config::createDefault();
    // 以下就是配置：
    $cfg -> set('Core.Encoding', 'UTF-8');
    // 設(shè)置允許使用的HTML標簽
    $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
    // 設(shè)置允許出現(xiàn)的CSS樣式屬性
    $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
    // 設(shè)置a標簽上是否允許使用target="_blank"
    $cfg -> set('HTML.TargetBlank', TRUE);
    // 使用配置生成過濾用的對象
    $obj = new HTMLPurifier($cfg);
    // 過濾字符串
    return $obj -> purify($string);
}

然后在 application目錄下的config.php 配置文件

把這個過濾方法改成那個方法名即可

結(jié)合框架的使用 和插件的使用可以使用這個 上面的代碼可以可以直接使用的

也可以針對某個字段進行xss驗證

1 修改 command的文件把改成這個 'default_filter' => 'htmlspecialchars',

2 然后在你要更改的字段 上面 修改成

看完了這篇文章，相信你對“ThinkPHP如何防止XSS攻擊”有了一定的了解，如果想了解更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！