29、xss filter过滤器

简介: 29、xss filter过滤器

一、htmlspecialchars函数


htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。

<?php
  $str="<script>alert(123);</script>";
  echo $str;
  $str1=htmlspecialchars($str);
  echo "\n".$str1;
?>


不转换str,弹出123

转换后str1,原字符输出


二、htmlentities函数


htmlentities() 函数把字符转换为 HTML 实体,有中文输入的建议,建议用htmlspecialchars函数

<?php
  $str="<script>alert(123);</script>";
  echo $str;
  $str1=htmlentities($str);
  echo "\n".$str1;
?>


不转换str,弹出123

转换后str1,原字符输出


三、strip_targs函数


strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

<?php
  $str="<script>alert(321);</script>";
  echo $str;
  $str1=strip_tags($str);
  echo "\n".$str1;
?>


不转换str,弹出123

转换后str1,alert(321);

禁止非法,后果自负

目录
相关文章
|
11天前
|
XML PHP 数据格式
小课堂 -- xss filter过滤器
小课堂 -- xss filter过滤器
26 0
|
XML PHP 数据格式
29、xss filter过滤器
29、xss filter过滤器
65 0
|
SQL 前端开发 JavaScript
防止XSS跨站脚本攻击:Java过滤器
防止XSS跨站脚本攻击:Java过滤器
1590 1
防止XSS跨站脚本攻击:Java过滤器
|
安全 内存技术 JavaScript
通过伪造内网网站绕过弹出窗口屏蔽、XSS过滤器以及Navigate方法
本文讲的是通过伪造内网网站绕过弹出窗口屏蔽、XSS过滤器以及Navigate方法,原来的问题是无域网页(即具有空的document.domains的url)可以访问到任何文档来源的DOM,所以微软对他们添加一个随机域(GUID)进行修补。
2292 0
|
11天前
|
存储 JavaScript 前端开发
前端xss攻击——规避innerHtml过滤标签节点及属性
前端xss攻击——规避innerHtml过滤标签节点及属性
53 4
|
11天前
|
JavaScript 安全 前端开发
js开发:请解释什么是XSS攻击和CSRF攻击,并说明如何防范这些攻击。
XSS和CSRF是两种常见的Web安全威胁。XSS攻击通过注入恶意脚本盗取用户信息或控制账户,防范措施包括输入验证、内容编码、HTTPOnly Cookie和CSP。CSRF攻击则诱使用户执行未经授权操作,防范手段有CSRF Tokens、双重验证、Referer检查和SameSite Cookie属性。开发者应采取这些防御措施并定期进行安全审计以增强应用安全性。
28 0
|
11天前
|
存储 JSON 前端开发
【面试题】XSS攻击是什么?
【面试题】XSS攻击是什么?
|
11天前
|
缓存 安全 JavaScript
前端安全:Vue应用中防范XSS和CSRF攻击
【4月更文挑战第23天】本文探讨了在Vue应用中防范XSS和CSRF攻击的重要性。XSS攻击通过注入恶意脚本威胁用户数据,而CSRF则利用用户身份发起非授权请求。防范措施包括:对输入内容转义、使用CSP、选择安全的库;采用Anti-CSRF令牌、同源策略和POST请求对抗CSRF;并实施代码审查、更新依赖及教育团队成员。通过这些实践,可提升Vue应用的安全性,抵御潜在攻击。
|
11天前
|
安全 JavaScript Go
【Web】什么是 XSS 攻击,如何避免?
【Web】什么是 XSS 攻击,如何避免?