微信公众号讲师中心

首页

文章

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题

后端开发 web前端数据库开发工具 php框架科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具

AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习

大前端后端开发数据库移动端运维开发计算机基础

编程手册

大前端后端开发数据库移动端运维开发计算机基础

下载

js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机/移动开发手机游戏

搜索

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程

首页 > 后端开发 > php教程 > 正文

100分内容区的XSS和HTML入侵解决方案;

php中文网

发布： 2016-06-23 13:31:16

原创

1307人浏览过

前台提交内容:
一般通过百度UE 或 kind 编辑器;
这些编辑器会自动转义视图区的一些标签; 提交带标签的HTML字符串;
为了保持一致性,后台不能再次进行转义,而直接入库;
非法用户可以直接POST一段SCRIPT+HTML的代码,不经过JS;

这样会造成XSS攻击;

XSS: script 这个好解决,转义

和<script>即可; <br /> <br /> 但是HTML就麻烦了: <br /> 1.过滤position: 先去掉定位,把:转义; 定位完全可以重新定义页面; <br /> 2.过滤iframe frameset head ; 防止跳转; <br /> <br /> 这些就够了吗? 感觉还是不完善, 又不能全部转义; <br /> 假设用户利用DOM节点来扰乱页面呢? <br /> <br /> <p class="aaa"> <br /> 提交了这段代码,而正常的脚本JS中有对.aaa节点的操作,如复制,引用等等. 这样该事件取得的值将会产生意外; <br /> <br /> 3.还要过滤 clss="" id="" name=""; <br /> 如果JS中有自定义的属性, 那需要用正则删除所有属性; <br /> <br /> 4.... <br /> <br /> <br /> 我想知道你们如何处理的? 我感觉很乱,想找个规范的解决方案; <br /> <br /> <br /> <p> <br /> <h2>回复讨论(解决方案) <p class="sougouAnswer"> 所以允许用户富文本编辑的系统都采用 ubb 或 bccode 编码格式 <br /> 而在线 html 编辑器仅限于管理群使用 </script>

大家都在看：

php代码代码异常处理怎么优化_php代码错误捕获与用户体验性能优化方法教程为什么PHP代码无法正确解析JSON数据_PHP JSON数据解析问题排查与解决教程如何设置Debian 10上的PHP与MySQL集成的详细步骤？ php 模板怎么用_PHP模板使用方法详解怎么在Linux服务器上编译安装PHP_从源码编译的详细步骤

HTML速学教程(入门课程)

HTML速学教程(入门课程)

HTML怎么学习？HTML怎么入门？HTML在哪学？HTML怎么学才快？不用担心，这里为大家提供了HTML速学教程(入门课程)，有需要的小伙伴保存下载就能学习啦！

来源：php中文网

上一篇：如何获取zendframework2执行一个action所经过的所有函数？下一篇：两个时间关系对应的数组，怎么让它按时间顺序排列?

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

最新问题

如何为Laravel创建自定义命令_Artisan自定义命令行工具开发首先创建自定义Artisan命令类，通过make:command生成SendEmailsCommand文件；接着在Kernel.php中注册该命令；然后设置命令签名和描述以便终端调用；在handle方法中编写发送邮件等核心逻辑，并使用info、error等方法输出信息；支持添加参数{user}和选项{--queue}以增强灵活性；最后运行phpartisanemails:send测试命令执行效果。

2025-11-08 23:58:02

886

php调用内存优化技巧_php调用垃圾回收机制优化 PHP通过引用计数和周期性垃圾回收管理内存，循环引用需GC介入。使用unset()或设为null可释放变量，结合gc_collect_cycles()手动回收、适时启停GC，能有效降低内存占用，提升性能。

2025-11-08 23:55:02

210

怎么配置ThinkPHP的多应用模式_ThinkPHP路由与配置详细步骤启用多应用模式需安装topthink/think-multi-app扩展，配置app_multi为true，使用phpthinkapp:create创建admin等模块，各应用独立路由通过route.php定义，URL前缀映射在config/multi_app.php中设置，公共资源按需隔离或统一管理。

2025-11-08 23:48:02

908

PHP调用API限流被拒绝怎么解决_PHP API限流拒绝问题排查与请求频率控制教程首先确认是否因限流被拒，检查HTTP状态码429或403及响应头Retry-After字段；其次查阅API文档明确限流规则如每分钟请求上限、基于IP或APIKey的限制；接着在PHP中通过sleep()控制请求间隔，避免超频；再利用缓存（如Redis）存储结果减少重复调用；最后高并发场景使用队列（如RabbitMQ）异步处理请求，确保按规则匀速执行。

2025-11-08 23:47:02

555

为什么PHP代码会报未定义变量错误_PHP未定义变量错误原因与解决方法首先检查变量是否已声明并初始化，确保使用前存在赋值；其次启用错误报告定位问题，通过error_reporting(E_ALL)显示所有错误；接着处理作用域问题，函数内用global引入全局变量，闭包用use导入外部变量；然后验证表单数据是否存在，用isset()和empty()判断$_POST、$_GET等数据有效性，并用??提供默认值；最后确认配置文件加载顺序正确，使用require_once引入且路径无误，确保变量定义生效。

2025-11-08 23:45:36

1002

Nginx配置PHP环境_Nginx配置PHP环境详细教程首先确认Nginx与PHP-FPM服务已安装并运行，接着配置PHP-FPM通过Unix套接字监听，确保权限与Nginx用户一致；然后在Nginx服务器块中添加.php文件处理规则，指向PHP-FPM套接字，并设置index包含index.php；创建info.php测试文件验证解析功能；最后通过限制路径解析和禁止访问隐藏文件提升安全性。

2025-11-08 23:42:03

160

PHP开发环境搭建_PHP开发环境搭建解决办法首先使用集成环境如XAMPP可快速搭建PHP开发环境，适合初学者；其次手动安装Apache、MySQL和PHP能实现深度自定义配置；再者通过Docker容器化部署可保证环境一致性；最后结合VSCode与PHP工具链可实现高效调试。

2025-11-08 23:21:04

877

怎么用php签名_PHP数据签名（HMAC/SHA）生成与验证方法使用HMAC-SHA256可实现PHP数据安全传输，通过hash_hmac生成签名、参数排序拼接、hash_equals验证防篡改，并可封装支持多算法。

2025-11-08 22:49:34

621

PHP如何实现类的继承_PHP使用extends关键字实现继承的方法通过extends实现继承，子类复用父类非私有成员；可重写方法并用parent::调用父类版本；支持多层继承构建复杂体系。

2025-11-08 21:38:02

444

PHP三元运算符优化建议_PHP三元运算符使用优化建议三元运算符应适度使用以提升代码可读性，避免深层嵌套，推荐用if-else或PHP8的match替代；优先采用??处理变量默认值，确保类型安全，避免短三元误判假值；复杂逻辑应封装函数，三元仅用于简单赋值，保持表达式简洁清晰。

2025-11-08 21:31:19

712

相关专题

更多>

热门推荐

开源免费商场系统

广告

热门教程

更多>

相关推荐

热门推荐

最新课程

Web前端Promise教程从入门到精通

47896次学习
收藏
Redis6入门到精通超详细教程

48104次学习
收藏

最新下载

更多>

网站特效

网站源码

网站素材

前端模板

关于我们免责申明举报中心意见反馈讲师合作广告合作最新更新 English: php中文网：公益在线php培训，帮助PHP学习者快速成长！; 关注服务号技术交流群

PHP中文网订阅号: 每天精选资源文章推送

PHP中文网APP: 随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

PHP学习

技术支持

返回顶部