预防XSS攻击的一些方法整理

XSS又称CSS，全称Cross SiteScript(跨站脚本攻击)， XSS攻击类似于SQL注入攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。

常见的恶意字符XSS输入：

1. XSS 输入通常包含 JavaScript 脚本，如弹出恶意警告框：<script>alert("XSS");</script>

2. XSS 输入也可能是 HTML 代码段，譬如：

(1) 网页不停地刷新 <meta http-equiv="refresh" content="0;">

(2) 嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

防止XSS攻击测试路径：

测试XSS攻击的工具：

• Paros proxy (http://www.parosproxy.org)
• Fiddler (http://www.fiddlertool.com/fiddler)
• Burp proxy (http://www.portswigger.net/proxy/)
• TamperIE (http://www.bayden.com/dl/TamperIESetup.exe)

对于PHP开发者来说，如何去防范XSS攻击呢？

对网站发动XSS攻击的方式有很多种，仅仅使用php的一些内置过滤函数是对付不了的，即使你将filter_var(),mysql_real_escape_string(),htmlentities(),htmlspecialchars(),strip_tags()这些函数都使用上了也不一定能保证绝对的安全。

那么如何预防 XSS 注入？主要还是需要在用户数据过滤方面得考虑周全，在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags()、htmlspecialchars() 这类函数很好用
5. 外部的 Javascript 不一定就是可靠的
6. 引号过滤必须要重点注意
7. 除去不必要的 HTML 注释
8. Exploer 求你放过我吧……

方法一：利用php htmlentities()函数

php防止XSS跨站脚本攻击的方法：是针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。

在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string)的话，第二个参数默认是ENT_COMPAT，函数默认只是转化双引号(")，不对单引号(')做转义。

所以，htmlspecialchars()函数更多的时候要加上第二个参数，应该这样用: htmlspecialchars($string,ENT_QUOTES)。当然，如果需要不转化如何的引号，用htmlspecialchars($string,ENT_NOQUOTES)。

另外，尽量少用htmlentities(), 在全部英文的时候htmlentities()和htmlspecialchars()没有区别，都可以达到目的。但是，中文情况下, htmlentities()却会转化所有的html代码，连同里面的它无法识别的中文字符也给转化了。

htmlentities()和htmlspecialchars()这两个函数对单引号(')之类的字符串支持不好，都不能转化， 所以用htmlentities()和htmlspecialchars()转化的字符串只能防止XSS攻击，不能防止SQL注入攻击。

所有有打印的语句如echo，print等，在打印前都要使用htmlentities()进行过滤，这样可以防止XSS，注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312)。

方法二：自定义过滤XSS攻击的函数

/**
 * 防止XXS攻击
 * @param $string
 * @param $low 安全别级低
 */
function clean_xss(&$string, $low = false) {
    if (!is_array($string)) {
        $string = trim($string);
        $string = strip_tags($string);
        $string = htmlspecialchars($string);
        if ($low) {
            return true;
        }
        $string = str_replace(array('"', "\", "'", "/", "..", "../", "./", "//" ), '', $string);
        $no = '/%0[0-8bcef]/';
        $string = preg_replace($no, '', $string);
        $no = '/%1[0-9a-f]/';
        $string = preg_replace($no, '', $string);
        $no = '/[x00-x08x0Bx0Cx0E-x1Fx7F]+/S';
        $string = preg_replace($no, '', $string);
        return true;
    }
    $keys = array_keys($string);
    foreach ($keys as $key) {
        clean_xss($string[$key]);
    }
}

$str = 'phpddt.com<meta http-equiv="refresh" content="0;">';
clean_xss($str); // 如果你把这个注释掉，你就知道xss攻击的厉害了
echo $str;

本文借鉴于：https://www.ibm.com/developerworks/cn/opensource/os-cn-php-xss/