编程 PHP

Laravel5中防止XSS跨站攻击的方法

Posted in PHP onOctober 10, 2016

本文实例讲述了Laravel5中防止XSS跨站攻击的方法。分享给大家供大家参考，具体如下：

Laravel 5本身没有这个能力来防止xss跨站攻击了，但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。

1、安装

HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器，通常我们可以使用它来防止 XSS 跨站攻击，更多关于 HTMLPurifier的详情请参考其官网：http://htmlpurifier.org/。Purifier 是在 Laravel 5 中集成 HTMLPurifier 的扩展包，我们可以通过 Composer 来安装这个扩展包：

composer require mews/purifier

安装完成后，在配置文件config/app.php的providers中注册HTMLPurifier服务提供者：

'providers' => [
 // ...
 Mews\Purifier\PurifierServiceProvider::class,
]
然后在aliases中注册Purifier门面：
'aliases' => [
 // ...
 'Purifier' => Mews\Purifier\Facades\Purifier::class,
]

2、配置

要使用自定义的配置，发布配置文件到config目录：

php artisan vendor:publish

这样会在config目录下生成一个purifier.php文件：

return [
 'encoding' => 'UTF-8',
 'finalize' => true,
 'preload' => false,
 'cachePath' => null,
 'settings' => [
  'default' => [
   'HTML.Doctype'    => 'XHTML 1.0 Strict',
   'HTML.Allowed'    => 'div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
   'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
   'AutoFormat.AutoParagraph' => true,
   'AutoFormat.RemoveEmpty' => true
  ],
  'test' => [
   'Attr.EnableID' => true
  ],
  "youtube" => [
   "HTML.SafeIframe" => 'true',
   "URI.SafeIframeRegexp" => "%^(http://|https://|//)(www.youtube.com/embed/|player.vimeo.com/video/)%",
  ],
 ],
];

3、使用示例

可以使用辅助函数clean：

clean(Input::get('inputname'));

或者使用Purifier门面提供的clean方法：

Purifier::clean(Input::get('inputname'));

还可以在应用中进行动态配置：

clean('This is my H1 title', 'titles');
clean('This is my H1 title', array('Attr.EnableID' => true));

或者你也可以使用Purifier门面提供的方法：

Purifier::clean('This is my H1 title', 'titles');
Purifier::clean('This is my H1 title', array('Attr.EnableID' => true));

php防止xss攻击

<?PHP
function clean_xss(&$string, $low = False)
{
 if (! is_array ( $string ))
 {
 $string = trim ( $string );
 $string = strip_tags ( $string );
 $string = htmlspecialchars ( $string );
 if ($low)
 {
 return True;
 }
 $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
 $no = '/%0[0-8bcef]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/%1[0-9a-f]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
 $string = preg_replace ( $no, '', $string );
 return True;
 }
 $keys = array_keys ( $string );
 foreach ( $keys as $key )
 {
 clean_xss ( $string [$key] );
 }
}
//just a test
$str = '3water.com<meta http-equiv="refresh" content="0;">';
clean_xss($str); //如果你把这个注释掉，你就知道xss攻击的厉害了
echo $str;
?>

希望本文所述对大家基于Laravel框架的PHP程序设计有所帮助。

Laravel5中防止XSS跨站攻击的方法

- Author -

swteen

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

PHP VS ASP

Oct 09 PHP

转PHP手册及PHP编程标准

Dec 17 PHP

php下通过IP获取地理位置的代码(小偷程序)

Jun 09 PHP

PHP防CC攻击实现代码

Dec 29 PHP

PHP图片等比例缩放生成缩略图函数分享

Jun 10 PHP

WordPress中登陆后关闭登陆页面及设置用户不可见栏目

Dec 31 PHP

PHP-FPM实现性能优化

Mar 31 PHP

PHP如何将XML转成数组

Apr 04 PHP

php实现的一段简单概率相关代码

May 30 PHP

PHP微信开发之查询城市天气

Jun 23 PHP

PHP创建单例后台进程的方法示例

May 23 PHP

PHP Socket网络操作类定义与用法示例

Aug 30 PHP

php中让人头疼的浮点数运算分析

Oct 10 #PHP

Laravel实现自定义错误输出内容的方法

Oct 10 #PHP

PHP定时任务获取微信access_token的方法

Oct 10 #PHP

php使用SAE原生Mail类实现各种类型邮件发送的方法

Oct 10 #PHP

PHP简单数据库操作类实例【支持增删改查及链式操作】

Oct 10 #PHP

Ajax实现对静态页面的文章访问统计功能示例

Oct 10 #PHP

PhpStorm terminal无法输入命令的解决方法

Oct 09 #PHP

You might like

PHP防止刷新重复提交页面的示例代码

2015/11/11 PHP

浅谈PHP表单提交(POST&GET&URL编/解码)

2017/04/03 PHP

删除重复数据的算法

2006/11/23 Javascript

Javascript实例教程(19) 使用HoTMetal(7)

2006/12/23 Javascript

JS getAttribute和setAttribute(取得和设置属性)的使用介绍

2013/07/10 Javascript

jQuery(js)获取文字宽度(显示长度)示例代码

2013/12/31 Javascript

Jquery Ajax解析XML数据(同步及异步调用)简单实例

2014/02/12 Javascript

jQuery获取上传文件的名称的正则表达式

2015/05/21 Javascript

jQuery悬停文字提示框插件jquery.tooltipster.js用法示例【附demo源码下载】

2016/07/19 Javascript

Vue学习笔记进阶篇之单元素过度

2017/07/19 Javascript

浅谈vue.js中v-for循环渲染

2017/07/26 Javascript

提升页面加载速度的插件InstantClick

2017/09/12 Javascript

如何使用puppet替换文件中的string

2018/12/06 Javascript

vue cli安装使用less的教程详解

2019/07/12 Javascript

vue 微信扫码登录(自定义样式)

2020/01/06 Javascript

element中的$confirm的使用

2020/04/26 Javascript

JavaScript 获取滚动条位置并将页面滑动到锚点

2021/02/08 Javascript

[48:51]完美世界DOTA2联赛PWL S2 Magma vs InkIce 第一场 11.28

2020/12/02 DOTA

Python实现国外赌场热门游戏Craps（双骰子）

2015/03/31 Python

Django框架的使用教程路由请求响应的方法

2018/07/03 Python

Django model select的多种用法详解

2019/07/16 Python

Python flask框架如何显示图像到web页面

2020/06/03 Python

HTML5 Canvas的事件处理介绍

2015/04/24 HTML / CSS

Brookstone美国官网：独特新奇产品

2017/03/04 全球购物

加拿大廉价机票预订网站：CheapOair.ca

2018/03/04 全球购物

NYX Professional Makeup俄罗斯官网：世界知名的化妆品品牌

2019/12/26 全球购物

社区工作者演讲稿

2014/05/23 职场文书

小组口号大全

2014/06/09 职场文书

离职感谢信怎么写

2015/01/22 职场文书

初中英语教师个人工作总结2015

2015/07/21 职场文书

心理学培训心得体会

2016/01/22 职场文书

民警忠诚教育心得体会

2016/01/23 职场文书

优秀乡村医生事迹材料（2016精选版）

2016/02/29 职场文书

用python批量解压带密码的压缩包

2021/05/31 Python

MySQL系列之二多实例配置

2021/07/02 MySQL

Java 轮询锁使用时遇到问题

2022/05/11 Java/Android