Laravel5中防止XSS跨站攻击的方法


Posted in PHP onOctober 10, 2016

本文实例讲述了Laravel5中防止XSS跨站攻击的方法。分享给大家供大家参考,具体如下:

Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。

1、安装

HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。Purifier 是在 Laravel 5 中集成 HTMLPurifier 的扩展包,我们可以通过 Composer 来安装这个扩展包:

composer require mews/purifier

安装完成后,在配置文件config/app.php的providers中注册HTMLPurifier服务提供者:

'providers' => [
 // ...
 Mews\Purifier\PurifierServiceProvider::class,
]
然后在aliases中注册Purifier门面:
'aliases' => [
 // ...
 'Purifier' => Mews\Purifier\Facades\Purifier::class,
]

2、配置

要使用自定义的配置,发布配置文件到config目录:

php artisan vendor:publish

这样会在config目录下生成一个purifier.php文件:

return [
 'encoding' => 'UTF-8',
 'finalize' => true,
 'preload' => false,
 'cachePath' => null,
 'settings' => [
  'default' => [
   'HTML.Doctype'    => 'XHTML 1.0 Strict',
   'HTML.Allowed'    => 'div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
   'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
   'AutoFormat.AutoParagraph' => true,
   'AutoFormat.RemoveEmpty' => true
  ],
  'test' => [
   'Attr.EnableID' => true
  ],
  "youtube" => [
   "HTML.SafeIframe" => 'true',
   "URI.SafeIframeRegexp" => "%^(http://|https://|//)(www.youtube.com/embed/|player.vimeo.com/video/)%",
  ],
 ],
];

3、使用示例

可以使用辅助函数clean:

clean(Input::get('inputname'));

或者使用Purifier门面提供的clean方法:

Purifier::clean(Input::get('inputname'));

还可以在应用中进行动态配置:

clean('This is my H1 title', 'titles');
clean('This is my H1 title', array('Attr.EnableID' => true));

或者你也可以使用Purifier门面提供的方法:

Purifier::clean('This is my H1 title', 'titles');
Purifier::clean('This is my H1 title', array('Attr.EnableID' => true));

php防止xss攻击

<?PHP
function clean_xss(&$string, $low = False)
{
 if (! is_array ( $string ))
 {
 $string = trim ( $string );
 $string = strip_tags ( $string );
 $string = htmlspecialchars ( $string );
 if ($low)
 {
 return True;
 }
 $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
 $no = '/%0[0-8bcef]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/%1[0-9a-f]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
 $string = preg_replace ( $no, '', $string );
 return True;
 }
 $keys = array_keys ( $string );
 foreach ( $keys as $key )
 {
 clean_xss ( $string [$key] );
 }
}
//just a test
$str = '3water.com<meta http-equiv="refresh" content="0;">';
clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
echo $str;
?>

希望本文所述对大家基于Laravel框架的PHP程序设计有所帮助。

PHP 相关文章推荐
PHP实现文件安全下载
Oct 09 PHP
PHP+MYSQL的文章管理系统(二)
Oct 09 PHP
解析PHP中的unset究竟会不会释放内存
Jul 18 PHP
淘宝ip地址查询类分享(利用淘宝ip库)
Jan 07 PHP
PHP CURL或file_get_contents获取网页标题的代码及两者效率的稳定性问题
Nov 30 PHP
PHP的全局错误处理详解
Apr 25 PHP
[原创]解决wincache不支持64位PHP5.5/5.6的问题(提供64位wincache下载)
Jun 22 PHP
PHP Cookie学习笔记
Aug 23 PHP
php一个文件搞定微信jssdk配置
Dec 12 PHP
PHP文件与目录操作示例
Dec 24 PHP
php集成开发环境详解
Sep 24 PHP
PHP7 标准库修改
Mar 09 PHP
php中让人头疼的浮点数运算分析
Oct 10 #PHP
Laravel实现自定义错误输出内容的方法
Oct 10 #PHP
PHP定时任务获取微信access_token的方法
Oct 10 #PHP
php使用SAE原生Mail类实现各种类型邮件发送的方法
Oct 10 #PHP
PHP简单数据库操作类实例【支持增删改查及链式操作】
Oct 10 #PHP
Ajax实现对静态页面的文章访问统计功能示例
Oct 10 #PHP
PhpStorm terminal无法输入命令的解决方法
Oct 09 #PHP
You might like
Win2000+Apache+MySql+PHP4+PERL安装使用小结
2006/10/09 PHP
从网上搜到的phpwind 0day的代码
2006/12/07 PHP
再次研究下cache_lite
2007/02/14 PHP
php5 pdo新改动加载注意事项
2008/09/11 PHP
Php Cookie的一个使用注意点
2008/11/08 PHP
php的hash算法介绍
2014/02/13 PHP
PHP读取CURL模拟登录时生成Cookie文件的方法
2014/11/04 PHP
表单提交验证类
2006/07/14 Javascript
js 取时间差去掉周六周日实现代码
2012/12/25 Javascript
js获取php变量的实现代码
2013/08/10 Javascript
JQuery之focus函数使用介绍
2013/08/20 Javascript
js读取配置文件自写
2014/02/11 Javascript
jQuery与getJson结合的用法实例
2015/08/07 Javascript
不得不分享的JavaScript常用方法函数集(下)
2015/12/25 Javascript
浅析Bootstrap组件之面板组件
2016/05/04 Javascript
详解Node中导入模块require和import的区别
2017/08/11 Javascript
基于nodejs的雪碧图制作工具的示例代码
2018/11/05 NodeJs
利用webpack理解CommonJS和ES Modules的差异区别
2020/06/16 Javascript
vue watch监控对象的简单方法示例
2021/01/07 Vue.js
python Pygame的具体使用讲解
2017/11/03 Python
Python从使用线程到使用async/await的深入讲解
2018/09/16 Python
python 构造三维全零数组的方法
2018/11/12 Python
python实现归并排序算法
2018/11/22 Python
基于python实现音乐播放器代码实例
2020/07/01 Python
Elasticsearch py客户端库安装及使用方法解析
2020/09/14 Python
Python的Tqdm模块实现进度条配置
2021/02/24 Python
在canvas上实现元素图片镜像翻转动画效果的方法
2018/03/20 HTML / CSS
HTML5通过navigator.mediaDevices.getUserMedia调用手机摄像头问题
2020/04/27 HTML / CSS
大学自我鉴定范文
2013/12/26 职场文书
物理教师自荐信范文
2013/12/28 职场文书
技校毕业生自荐信范文
2014/03/07 职场文书
优质服务活动实施方案
2014/05/02 职场文书
2014年信访工作总结
2014/11/17 职场文书
优秀共青团员事迹材料
2014/12/25 职场文书
加薪申请书应该这样写!
2019/07/04 职场文书
MySQL安装后默认自带数据库的作用详解
2021/04/27 MySQL