<blockquote>防范XSS攻击的核心是管好输入与输出,重点在于输出转义。首先对用户输入进行严格验证,使用filter_var()等函数确保数据合法性;其次根据不同上下文对输出进行转义:HTML用htmlspecialchars()、URL用urlencode()、JavaScript用json_encode()、CSS应避免或严格过滤;同时设置HttpOnly Cookie防止脚本窃取会话,并通过Content-Security-Policy(CSP)响应头限制资源加载,进一步阻止恶意脚本执行,实现多层次防御。</blockquote>
<p><img src=&quot;https://img.php.cn/upload/article/001/503/042/175844094228915.png&quot; alt=&quot;php动态网页xss攻击防范_php动态网页跨站脚本攻击防护指南&quot;></p>
<p>XSS攻击,也就是跨站脚本攻击,在PHP动态网页里防范起来,核心思路其实就两点:管好输入,更要管好输出。简单说,就是任何来自用户的数据,在显示到页面上之前,都必须被当成潜在的恶意代码来处理,进行严格的消毒和转义。</p>
<h3>解决方案</h3>
<p>防范PHP动态网页的XSS攻击,我们需要一套多层次、系统性的策略,这绝不是一个函数就能解决的事。</p>
<p>首先,<strong>输入验证</strong>是第一道防线,但它不是万能的。我们必须对所有接收到的用户输入进行严格的验证,包括数据类型、长度、格式、内容范围等。比如,如果期待一个数字,那就只允许数字;如果期待一个邮箱,那就用<a style=&quot;color:#f60; text-decoration:underline;&quot; title=&quot;正则表达式&quot; href=&quot;https://www.php.cn/zt/15947.html&quot; target=&quot;_blank&quot;>正则表达式</a>验证其格式。PHP的<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>filter_var()</pre>
登录后复制
</div>函数在这里非常好用,可以帮助我们过滤或验证各种类型的数据。但请记住,输入验证的目的是为了确保数据的合法性,而不是为了防范XSS。一个看似合法的输入,比如一段包含HTML标签的文本,如果直接输出,仍然可能导致XSS。</p>
<p>其次,也是最关键的一步,是<strong>输出转义</strong>。这是防范XSS的黄金法则。任何要显示到HTML页面上的用户生成内容,都必须根据其所在的上下文进行恰当的转义。</p>
<p><span>立即学习</span>“<a href=&quot;https://pan.quark.cn/s/7fc7563c4182&quot; style=&quot;text-decoration: underline !important; color: blue; font-weight: bolder;&quot; rel=&quot;nofollow&quot; target=&quot;_blank&quot;>PHP免费学习笔记(深入)</a>”;</p>
<ul>
<li>
<strong>HTML上下文转义:</strong> 当用户输入要插入到HTML标签内部或属性值中时,使用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlspecialchars()</pre>
登录后复制
</div>函数将<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&amp;</pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&quot;</pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>'</pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><</pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>></pre>
登录后复制
</div>等特殊字符转换为HTML实体。务必使用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>ENT_QUOTES</pre>
登录后复制
</div>参数来转义单引号和双引号,并指定字符编码,例如<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlspecialchars($string, ENT_QUOTES | ENT_HTML5, 'UTF-8')</pre>
登录后复制
</div>。</li>
<li>
<strong>URL上下文转义:</strong> 当用户输入要作为URL的一部分时(例如查询参数),使用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>urlencode()</pre>
登录后复制
</div>函数进行编码。</li>
<li>
<strong>JavaScript上下文转义:</strong> 如果用户输入需要嵌入到JavaScript代码中,情况会复杂一些。最安全的方式是避免直接将用户输入拼接到JS代码中。如果确实需要,可以考虑使用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>json_encode()</pre>
登录后复制
</div>将数据转换为JSON字符串,然后由<a style=&quot;color:#f60; text-decoration:underline;&quot; title=&quot;前端&quot; href=&quot;https://www.php.cn/zt/15813.html&quot; target=&quot;_blank&quot;>前端</a>JS解析。或者,进行严格的JS字符转义,但这通常比<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlspecialchars</pre>
登录后复制
</div>更复杂,且容易出错。</li>
<li>
<strong>CSS上下文转义:</strong> 避免将用户输入直接插入到CSS样式中,这极易导致XSS。如果非要如此,需要进行非常严格的CSS转义,通常建议使用白名单机制。</li>
</ul>
<p>再者,<strong>设置HTTP响应头</strong>也能提供额外的安全层。</p>
<ul>
<li>
<strong>Content-Security-Policy (CSP):</strong> 这是一个强大的安全策略,通过HTTP响应头告诉浏览器哪些资源可以被加载和执行。它可以严格限制脚本的来源,防止恶意脚本的注入。</li>
<li>
<strong>HttpOnly Cookies:</strong> 将敏感的Session ID等Cookie设置为<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>HttpOnly</pre>
登录后复制
</div>,这样JavaScript就无法访问这些Cookie,即使发生XSS,也难以窃取用户的会话。</li>
</ul>
<p>最后,<strong>保持软件更新</strong>,包括PHP版本、框架和所有依赖库。安全漏洞往往存在于旧版本中,及时更新可以修补已知问题。</p>
<h3>为什么只进行输入验证还不够?</h3>
<p>说实话,很多人在谈到安全时,第一反应就是“验证输入”。这当然没错,输入验证是必要的,它能确保我们拿到的数据符合预期,防止一些简单的注入,比如SQL注入,也能防止一些格式错误导致的问题。但要说防XSS,光靠输入验证,那可真是远远不够的。</p>
<p>你想啊,XSS攻击的本质是“脚本注入”,它并不关心你输入的数据是不是“合法”的,它关心的是你的浏览器如何解析和执行这些数据。举个例子,如果你的网站允许用户评论,而评论内容里包含了<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><script>alert('XSS')</script></pre>
登录后复制
</div>这段代码。如果你的输入验证只是简单地检查长度,或者是不是“纯文本”(比如不允许HTML标签),那这段代码可能确实会被过滤掉。</p>
<p>但如果你的验证稍微宽松一点,允许用户输入一些基本的HTML标签,比如<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><b></pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><i></pre>
登录后复制
</div>。那么,攻击者可能就会构造出像这样的内容:<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><img src=&quot;invalid&quot; onerror=&quot;alert('XSS')&quot;></pre>
登录后复制
</div>。这段代码在HTML语法上是完全合法的,<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>onerror</pre>
登录后复制
</div>是<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><img></pre>
登录后复制
</div>标签的一个标准属性。你的输入验证可能根本不会把它当成“恶意”的。然而,当浏览器尝试加载一个不存在的图片,并触发<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>onerror</pre>
登录后复制
</div>事件时,恶意脚本就被执行了。</p>
<p>所以,核心问题在于,输入验证是针对服务器端对数据的“理解”和“处理”来做的,而XSS是针对浏览器端对数据的“渲染”和“执行”来做的。两者不在一个维度上。一个在服务器看来“合法”的数据,在浏览器看来却可能是一个危险的指令。这就是为什么我们总是强调“输出转义”才是防范XSS的最终防线,因为它是在数据即将呈现给用户时,确保浏览器不会误解这些数据。</p>
<h3>PHP中常用的XSS转义函数有哪些,如何正确使用?</h3>
<p>在PHP里,提到XSS转义,最常用的几个函数确实是我们的老朋友了,但用对地方、用对参数,这里面还是有些门道的。</p>
<ol>
<li>
<p><strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlspecialchars()</pre>
登录后复制
</div></strong>
这是处理HTML上下文中最常用的函数,它的主要作用是将HTML中的特殊字符转换成HTML实体。</p>
<ul>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&amp;</pre>
登录后复制
</div> (和号) 会变成 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&amp;</pre>
登录后复制
</div></li>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&quot;</pre>
登录后复制
</div> (双引号) 会变成 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&quot;</pre>
登录后复制
</div></li>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>'</pre>
登录后复制
</div> (单引号) 会变成 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&amp;#039;</pre>
登录后复制
</div> (或 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&amp;apos;</pre>
登录后复制
</div>,取决于HTML版本和参数)</li>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><</pre>
登录后复制
</div> (小于号) 会变成 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><</pre>
登录后复制
</div></li>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>></pre>
登录后复制
</div> (大于号) 会变成 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>></pre>
登录后复制
</div></li>
</ul>
<p><strong>如何正确使用:</strong></p>
<div class=&quot;aritcle_card&quot;>
<a class=&quot;aritcle_card_img&quot; href=&quot;/ai/997&quot;>
<img src=&quot;https://img.php.cn/upload/ai_manual/001/503/042/68b6ced7f19c7444.png&quot; alt=&quot;网易天音&quot;>
</a>
<div class=&quot;aritcle_card_info&quot;>
<a href=&quot;/ai/997&quot;>网易天音</a>
<p>网易出品!一站式音乐创作工具!零基础写歌!</p>
<div class=&quot;&quot;>
<img src=&quot;/static/images/card_xiazai.png&quot; alt=&quot;网易天音&quot;>
<span>76</span>
</div>
</div>
<a href=&quot;/ai/997&quot; class=&quot;aritcle_card_btn&quot;>
<span>查看详情</span>
<img src=&quot;/static/images/cardxiayige-3.png&quot; alt=&quot;网易天音&quot;>
</a>
</div>
<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class='brush:php;toolbar:false;'>$userInput = &quot;<script>alert('XSS')</script>&quot;;
// 推荐用法:指定ENT_QUOTES和UTF-8编码
echo htmlspecialchars($userInput, ENT_QUOTES | ENT_HTML5, 'UTF-8');
// 输出: <script>alert(&amp;#039;XSS&amp;#039;)</script></pre>
登录后复制
</div><ul>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>ENT_QUOTES</pre>
登录后复制
</div>:这个参数非常重要,它会转义单引号和双引号。如果你的用户输入可能会出现在HTML属性值中(例如<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><input value=&quot;用户输入&quot;></pre>
登录后复制
</div>),那么不转义引号就可能导致属性注入。</li>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>ENT_HTML5</pre>
登录后复制
</div>:如果你确定你的页面是HTML5,可以使用这个,它会以HTML5的方式处理实体。</li>
<li><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>UTF-8</pre>
登录后复制
</div>:明确指定字符编码,避免乱码和潜在的编码攻击。</li>
</ul>
</li>
<li>
<p><strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlentities()</pre>
登录后复制
</div></strong>
这个函数功能比<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlspecialchars()</pre>
登录后复制
</div>更强大,它会把所有可能存在的HTML字符都转换成对应的HTML实体。比如,<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>©</pre>
登录后复制
</div> 会变成 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>&amp;copy;</pre>
登录后复制
</div>。</p>
<p><strong>如何正确使用:</strong></p><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class='brush:php;toolbar:false;'>$userInput = &quot;© 版权所有 <script>&quot;;
echo htmlentities($userInput, ENT_QUOTES | ENT_HTML5, 'UTF-8');
// 输出: &amp;copy; &amp;#x7248;&amp;#x6743;&amp;#x6240;&amp;#x6709; <script></pre>
登录后复制
</div><p>虽然它转义得更彻底,但实际应用中,<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlspecialchars()</pre>
登录后复制
</div>通常就足够了,因为它只转义那些对HTML结构有影响的特殊字符,能保持原始文本的可读性。<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlentities()</pre>
登录后复制
</div>可能会让页面源码变得非常冗长,除非你有特殊需求,否则不常用。</p>
</li>
<li>
<p><strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>urlencode()</pre>
登录后复制
</div></strong>
这个函数用于将字符串编码成URL安全的格式,主要用在URL的查询参数或路径片段中。它会将非字母数字字符转换成百分号编码(<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>%xx</pre>
登录后复制
</div>)。</p>
<p><strong>如何正确使用:</strong></p><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class='brush:php;toolbar:false;'>$paramValue = &quot;Hello World! &amp; < >&quot;;
$url = &quot;/search?q=&quot; . urlencode($paramValue);
echo $url;
// 输出: /search?q=Hello+World%21+%26+%3C+%3E</pre>
登录后复制
</div><p>如果你要将用户输入作为URL的一部分,比如重定向到一个包含用户名的页面,那就必须使用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>urlencode()</pre>
登录后复制
</div>。</p>
</li>
<li>
<p><strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>json_encode()</pre>
登录后复制
</div></strong>
虽然它不是直接的“XSS转义”函数,但在将PHP数据传递给JavaScript时,<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>json_encode()</pre>
登录后复制
</div>是防止XSS的利器。它会将PHP数组或对象转换为JSON格式的字符串,并自动处理其中的特殊字符(如引号、斜杠等),使其在JavaScript中安全地被解析。</p>
<p><strong>如何正确使用:</strong></p><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class='brush:php;toolbar:false;'>$data = [
'name' => 'John Doe',
'message' => '<script>alert(&quot;XSS&quot;)</script>'
];
echo '<script>';
echo 'var userData = ' . json_encode($data) . ';';
echo 'console.log(userData.message);';
echo '</script>';
// 输出的JS代码中,message会是:'<script>alert(\&quot;XSS\&quot;)<\/script>',作为字符串安全地存在</pre>
登录后复制
</div><p>通过<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>json_encode()</pre>
登录后复制
</div>,恶意脚本会被当成普通字符串处理,而不是被JavaScript引擎执行。这是将PHP变量安全地传递给前端JavaScript的最佳实践。</p>
</li>
</ol>
<p>总结一下,选择哪个函数,完全取决于你的用户输入将要出现在哪个上下文。在HTML标签或属性里用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>htmlspecialchars</pre>
登录后复制
</div>,在URL里用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>urlencode</pre>
登录后复制
</div>,在JavaScript里用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>json_encode</pre>
登录后复制
</div>。搞清楚上下文,是正确防范XSS的关键。</p>
<h3>如何利用Content-Security-Policy (CSP) 进一步强化XSS防御?</h3>
<p>说实话,即便我们把输入验证和输出转义做得再好,也总有那么一丝不确定性,或者说,总有百密一疏的可能。这时候,Content-Security-Policy (CSP) 就显得特别重要了,它就像是给浏览器安了一个智能安检门,能从源头上限制哪些内容可以被加载和执行,从而为XSS防御提供一个强大的额外安全层。</p>
<p>CSP的原理是通过HTTP响应头来告诉浏览器,哪些资源(比如脚本、样式、图片、字体等)可以从哪些“源”加载。如果浏览器尝试加载一个不被允许的资源,它就会被阻止。这极大地限制了攻击者即使成功注入了恶意脚本,也无法执行或加载外部资源的可能。</p>
<p><strong>如何在PHP中配置CSP:</strong></p>
<p>CSP是通过HTTP响应头来设置的,所以在PHP中,我们通常使用<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>header()</pre>
登录后复制
</div>函数来发送它。</p><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class='brush:php;toolbar:false;'><?php
// 这是一个基本的CSP策略示例
// 允许所有资源(除了object-src)从当前源加载
// script-src 明确允许从当前源和 trusted.cdn.com 加载脚本
// object-src 'none' 阻止 Flash 等插件的加载
$csp_policy = &quot;Content-Security-Policy: &quot; .
&quot;default-src 'self'; &quot; .
&quot;script-src 'self' https://trusted.cdn.com; &quot; .
&quot;style-src 'self' 'unsafe-inline'; &quot; . // 'unsafe-inline' 是为了兼容内联样式,但最好避免
&quot;img-src 'self' data:; &quot; .
&quot;font-src 'self'; &quot; .
&quot;connect-src 'self'; &quot; .
&quot;object-src 'none'; &quot; .
&quot;frame-ancestors 'self'; &quot; . // 防止点击劫持
&quot;base-uri 'self'; &quot; . // 限制 <base> 标签的 URL
&quot;form-action 'self';&quot;; // 限制 <form> 提交的目标
header($csp_policy);
// ... 你的PHP页面内容
?></pre>
登录后复制
</div><p><strong>CSP指令解析:</strong></p>
<ul>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>default-src 'self'</pre>
登录后复制
</div></strong>: 这是最常用的指令,它定义了所有未明确指定类型的资源的默认加载策略。<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>'self'</pre>
登录后复制
</div>表示只允许从当前域(包括协议和端口)加载资源。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>script-src</pre>
登录后复制
</div></strong>: 定义JavaScript脚本的加载源。你可以指定多个源,比如<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>'self'</pre>
登录后复制
</div>(当前域)、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>https://cdn.example.com</pre>
登录后复制
</div>(某个CDN)、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>'unsafe-inline'</pre>
登录后复制
</div>(允许内联脚本,但<strong>强烈不推荐</strong>用于生产环境,因为它会削弱XSS防御)、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>'unsafe-eval'</pre>
登录后复制
</div>(允许<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>eval()</pre>
登录后复制
</div>等函数,同样<strong>强烈不推荐</strong>)。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>style-src</pre>
登录后复制
</div></strong>: 定义CSS样式的加载源。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>img-src</pre>
登录后复制
</div></strong>: 定义图片资源的加载源。<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>data:</pre>
登录后复制
</div> 允许加载Base64编码的图片。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>object-src 'none'</pre>
登录后复制
</div></strong>: 这是一个非常好的实践,它会阻止浏览器加载像Flash、Java Applets这样的插件。这些插件往往是攻击的潜在目标。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>connect-src</pre>
登录后复制
</div></strong>: 定义<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>XMLHttpRequest</pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>WebSocket</pre>
登录后复制
</div>等连接的源。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>frame-ancestors 'self'</pre>
登录后复制
</div></strong>: 限制哪些源可以嵌入你的页面作为<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><iframe></pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><frame></pre>
登录后复制
</div>、<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><object></pre>
登录后复制
</div>等,有助于防范点击劫持(Clickjacking)。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>base-uri 'self'</pre>
登录后复制
</div></strong>: 限制<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>base</pre>
登录后复制
</div>标签可以指定的URL。</li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>form-action 'self'</pre>
登录后复制
</div></strong>: 限制<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>form</pre>
登录后复制
</div>表单可以提交到的URL。</li>
</ul>
<p><strong>强化防御的进阶技巧:<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>nonce</pre>
登录后复制
</div> 和 <div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>hash</pre>
登录后复制
</div></strong></p>
<p>为了避免使用不安全的<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>'unsafe-inline'</pre>
登录后复制
</div>,CSP提供了更精细的控制方式:</p>
<ul>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>nonce</pre>
登录后复制
</div> (一次性随机数)</strong>:在<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>script-src</pre>
登录后复制
</div>或<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>style-src</pre>
登录后复制
</div>中,你可以生成一个随机的nonce值,并将其添加到CSP头和对应的<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><script></pre>
登录后复制
</div>或<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;><style></pre>
登录后复制
</div>标签中。只有带有正确nonce的内联脚本/样式才会被执行。<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class='brush:php;toolbar:false;'>$nonce = base64_encode(random_bytes(16)); // 生成一个随机nonce
header(&quot;Content-Security-Policy: script-src 'nonce-{$nonce}' 'self';&quot;);
// 在HTML中:
// <script nonce=&quot;<?php echo $nonce; ?>&quot;>alert('Hello CSP');</script></pre>
登录后复制
</div></li>
<li>
<strong><div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>hash</pre>
登录后复制
</div> (哈希值)</strong>:你也可以计算内联脚本或样式的SHA256、SHA384或SHA512哈希值,并将其添加到CSP头中。浏览器会检查脚本的哈希值是否匹配。</li>
</ul>
<p><strong>部署CSP的挑战:</strong></p>
<p>CSP虽然强大,但部署起来确实有点烧脑。</p>
<ol>
<li>
<strong>兼容性问题:</strong> 如果你的网站使用了大量的第三方JS库或内联脚本,配置一个严格的CSP可能会导致功能失效。</li>
<li>
<strong>迭代过程:</strong> 通常需要先以报告模式(<div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;><pre class=&quot;brush:php;toolbar:false;&quot;>Content-Security-Policy-Report-Only</pre>
登录后复制
</div>)部署CSP,观察违规报告,逐步调整策略,直到所有合法资源都能正常加载。</li>
<li>
<strong>维护成本:</strong> 每次添加新的脚本或样式源,都需要更新CSP策略。</li>
</ol>
<p>尽管有这些挑战,CSP仍然是现代Web应用不可或缺的安全措施。它将XSS的防线从“代码层面”延伸到了“浏览器层面”,即使攻击者突破了你的代码防线,CSP也能在浏览器端阻止恶意脚本的执行,大大降低了XSS攻击的风险。</p>
以上就是PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南的详细内容,更多请关注php中文网其它相关文章!
广告
收藏
124
