Yii2的XSS攻击防范策略分析

2023-02-20 原文

本文实例讲述了Yii2的XSS攻击防范策略。分享给大家供大家参考，具体如下：

XSS 漏洞修复

原则：　不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中

① 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
② 只允许用户输入我们期望的数据。例如：　年龄的textbox中，只允许用户输入数字。而数字之外的字符都过滤掉。
③ 对数据进行Html Encode 处理
④ 过滤或移除特殊的Html标签，例如: script, iframe , < for <, > for >, &quot for
⑤ 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

Yii中的XSS防范

<?php echo CHtml::encode($user->name) ?>

此方法的源码：

/**
* Encodes special characters into HTML entities.
* The [[\yii\base\Application::charset|application charset]] will be used for encoding.
* @param string $content the content to be encoded
* @param boolean $doubleEncode whether to encode HTML entities in `$content`. If false,
* HTML entities in `$content` will not be further encoded.
* @return string the encoded content
* @see decode()
* @see http://www.php.net/manual/en/function.htmlspecialchars.php
*/
public static function encode($content, $doubleEncode = true)
{
  return htmlspecialchars($content, ENT_QUOTES | ENT_SUBSTITUTE, Yii::$app->charset, $doubleEncode);
}

htmlspecialchars & htmlentities & urlencode 三者的区别：

http://php.net/manual/zh/function.htmlspecialchars.php
http://php.net/manual/zh/function.htmlentities.php
http://cn2.php.net/manual/zh/function.urlencode.php

Available flags constants
Constant Name Description
ENT_COMPAT Will convert double-quotes and leave single-quotes alone.
ENT_QUOTES Will convert both double and single quotes.
ENT_NOQUOTES Will leave both double and single quotes unconverted.
ENT_IGNORE Silently discard invalid code unit sequences instead of returning an empty string. Using this flag is discouraged as it » may have security implications.
ENT_SUBSTITUTE Replace invalid code unit sequences with a Unicode Replacement Character U FFFD (UTF-8) or &#FFFD; (otherwise) instead of returning an empty string.
ENT_DISALLOWED Replace invalid code points for the given document type with a Unicode Replacement Character U FFFD (UTF-8) or &#FFFD; (otherwise) instead of leaving them as is. This may be useful, for instance, to ensure the well-formedness of XML documents with embedded external content.
ENT_HTML401 Handle code as HTML 4.01.
ENT_XML1 Handle code as XML 1.
ENT_XHTML Handle code as XHTML.
ENT_HTML5 Handle code as HTML 5.

htmlspecialchars

Convert special characters to HTML entities

string htmlspecialchars ( 
      string $string 
      [, int $flags = ENT_COMPAT | ENT_HTML401 
      [, string $encoding = ini_get("default_charset") 
      [, bool $double_encode = true ]
    ]
  ] 
)

The translations performed are:

& (ampersand) becomes &
" (double quote) becomes " when ENT_NOQUOTES is not set.
' (single quote) becomes ' (or ') only when ENT_QUOTES is set.
< (less than) becomes <
> (greater than) becomes >

<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt;
?>

htmlentities

Convert all applicable characters to HTML entities

string htmlentities ( 
      string $string 
      [, int $flags = ENT_COMPAT | ENT_HTML401 
      [, string $encoding = ini_get("default_charset") 
      [, bool $double_encode = true ]
    ]
  ] 
)

<?php
$str = "A 'quote' is <b>bold</b>";
// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);
// Outputs: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>

urlencode

URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。

例如在baidu中搜索"测试汉字"。 URL会变成
http://www.baidu.com/s?wd=

Yii2的XSS攻击防范策略分析的更多相关文章

Yii2中组件的注册与创建方法

这篇文章主要介绍了Yii2之组件的注册与创建的实现方法，非常不错，具有参考借鉴价值,需要的朋友可以参考下
深入浅析yii2-gii自定义模板的方法

Yii 是一个高性能，基于组件的 PHP 框架，用于快速开发现代 Web 应用程序。接下来通过本文给大家介绍yii2-gii自定义模板的方法，需要的朋友参考下吧
Yii2语言国际化自动配置详解

这篇文章主要介绍了Yii2语言国际化自动配置详解,小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
php Yii2框架创建定时任务方法详解

Yii2是一个基于组件、用于开发大型Web应用的高性能PHP框架，采用严格的OOP编写，并有着完善的库引用以及全面的教程，该框架提供了Web 2.0应用开发所需要的几乎一切功能，是最有效率的PHP框架之一
YII2框架中ActiveDataProvider与GridView的配合使用操作示例

这篇文章主要介绍了YII2框架中ActiveDataProvider与GridView的配合使用操作,结合实例形式分析了YII2框架中ActiveDataProvider与GridView的功能及配合使用相关操作实现技巧,需要的朋友可以参考下
Yii2中添加全局函数的方法分析

这篇文章主要介绍了Yii2中添加全局函数的方法,结合实例形式对比分析了2种添加全局函数的实现技巧,需要的朋友可以参考下
yii2带搜索功能的下拉框实例详解

带搜索功能下拉框在项目中经常会用到，下面小编把实现代码分享到脚本之家平台，供大家参考
Laravel5中防止XSS跨站攻击的方法

这篇文章主要介绍了Laravel5中防止XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS跨站攻击的相关操作技巧,需要的朋友可以参考下
使用YII2框架实现微信公众号中表单提交功能

刚刚接触微信就要做一个表单提交功能，需求是这样的只能在数据库中存在的手机号看到表单。下面通过本文给大家分享使用YII2框架实现微信公众号中表单提交功能，感兴趣的朋友一起看看吧
Yii2单元测试用法示例

这篇文章主要介绍了Yii2单元测试用法,结合实例形式分析了Yii2单元测试的具体实现与使用技巧,需要的朋友可以参考下

随机推荐

PHP个人网站架设连环讲(一)

先下一个OmnihttpdProffesinalV2.06，装上就有PHP4beta3可以用了。PHP4给我们带来一个简单的方法，就是使用SESSION（会话）级变量。但是如果不是PHP4又该怎么办？我们可以假设某人在15分钟以内对你的网页的请求都不属于一个新的人次，这样你可以做个计数的过程存在INC里，在每一个页面引用，访客第一次进入时将访问时间送到cookie里。以后每个页面被访问时都检查cookie上次访问时间值。
PHP函数学习之PHP函数点评

PHP函数使用说明，应用举例，精简点评,希望对您学习php有所帮助
ecshop2.7.3 在php5.4下的各种错误问题处理

将方法内的函数，分拆为2个部分。这个和gd库没有一点关系，是ecshop程序的问题。会出现这种问题，不外乎就是当前会员的session或者程序对cookie的处理存在漏洞。进过本地测试，includes\modules\integrates\ecshop.php这个整合自身会员的类中没有重写integrate.php中的check_cookie()方法导致,验证cookie时返回的username为空，丢失了登录状态，在ecshop.php中重写了此方法就可以了。把他加到ecshop.php的最后面去就可
NT IIS下用ODBC连接数据库

$connection=intodbc_connect建立数据库连接，$query_string="查询记录的条件"如：$query_string="select*fromtable"用$cur=intodbc_exec检索数据库，将记录集放入$cur变量中。再用while{$var1=odbc_result;$var2=odbc_result;...}读取odbc_exec()返回的数据集$cur。最后是odbc_close关闭数据库的连接。odbc_result()函数是取当前记录的指定字段值。
PHP使用JpGraph绘制折线图操作示例【附源码下载】

这篇文章主要介绍了PHP使用JpGraph绘制折线图操作,结合实例形式分析了php使用JpGraph的相关操作技巧与注意事项,并附带源码供读者下载参考,需要的朋友可以参考下
zen_cart实现支付前生成订单的方法

这篇文章主要介绍了zen_cart实现支付前生成订单的方法,结合实例形式详细分析了zen_cart支付前生成订单的具体步骤与相关实现技巧,需要的朋友可以参考下
Thinkphp5框架实现获取数据库数据到视图的方法

这篇文章主要介绍了Thinkphp5框架实现获取数据库数据到视图的方法,涉及thinkPHP5数据库配置、读取、模型操作及视图调用相关操作技巧,需要的朋友可以参考下
PHP+jquery+CSS制作头像登录窗（仿QQ登陆）

本篇文章介绍了PHP结合jQ和CSS制作头像登录窗（仿QQ登陆），实现了类似QQ的登陆界面，很有参考价值，有需要的朋友可以了解一下。
基于win2003虚拟机中apache服务器的访问

下面小编就为大家带来一篇基于win2003虚拟机中apache服务器的访问。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
Yii2中组件的注册与创建方法

这篇文章主要介绍了Yii2之组件的注册与创建的实现方法，非常不错，具有参考借鉴价值,需要的朋友可以参考下