编程 PHP

Laravel5中防止XSS跨站攻击的方法

Posted in PHP onOctober 10, 2016

本文实例讲述了Laravel5中防止XSS跨站攻击的方法。分享给大家供大家参考，具体如下：

Laravel 5本身没有这个能力来防止xss跨站攻击了，但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。

1、安装

HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器，通常我们可以使用它来防止 XSS 跨站攻击，更多关于 HTMLPurifier的详情请参考其官网：http://htmlpurifier.org/。Purifier 是在 Laravel 5 中集成 HTMLPurifier 的扩展包，我们可以通过 Composer 来安装这个扩展包：

composer require mews/purifier

安装完成后，在配置文件config/app.php的providers中注册HTMLPurifier服务提供者：

'providers' => [
 // ...
 Mews\Purifier\PurifierServiceProvider::class,
]
然后在aliases中注册Purifier门面：
'aliases' => [
 // ...
 'Purifier' => Mews\Purifier\Facades\Purifier::class,
]

2、配置

要使用自定义的配置，发布配置文件到config目录：

php artisan vendor:publish

这样会在config目录下生成一个purifier.php文件：

return [
 'encoding' => 'UTF-8',
 'finalize' => true,
 'preload' => false,
 'cachePath' => null,
 'settings' => [
  'default' => [
   'HTML.Doctype'    => 'XHTML 1.0 Strict',
   'HTML.Allowed'    => 'div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]',
   'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align',
   'AutoFormat.AutoParagraph' => true,
   'AutoFormat.RemoveEmpty' => true
  ],
  'test' => [
   'Attr.EnableID' => true
  ],
  "youtube" => [
   "HTML.SafeIframe" => 'true',
   "URI.SafeIframeRegexp" => "%^(http://|https://|//)(www.youtube.com/embed/|player.vimeo.com/video/)%",
  ],
 ],
];

3、使用示例

可以使用辅助函数clean：

clean(Input::get('inputname'));

或者使用Purifier门面提供的clean方法：

Purifier::clean(Input::get('inputname'));

还可以在应用中进行动态配置：

clean('This is my H1 title', 'titles');
clean('This is my H1 title', array('Attr.EnableID' => true));

或者你也可以使用Purifier门面提供的方法：

Purifier::clean('This is my H1 title', 'titles');
Purifier::clean('This is my H1 title', array('Attr.EnableID' => true));

php防止xss攻击

<?PHP
function clean_xss(&$string, $low = False)
{
 if (! is_array ( $string ))
 {
 $string = trim ( $string );
 $string = strip_tags ( $string );
 $string = htmlspecialchars ( $string );
 if ($low)
 {
 return True;
 }
 $string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
 $no = '/%0[0-8bcef]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/%1[0-9a-f]/';
 $string = preg_replace ( $no, '', $string );
 $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
 $string = preg_replace ( $no, '', $string );
 return True;
 }
 $keys = array_keys ( $string );
 foreach ( $keys as $key )
 {
 clean_xss ( $string [$key] );
 }
}
//just a test
$str = '3water.com<meta http-equiv="refresh" content="0;">';
clean_xss($str); //如果你把这个注释掉，你就知道xss攻击的厉害了
echo $str;
?>

希望本文所述对大家基于Laravel框架的PHP程序设计有所帮助。

Laravel5中防止XSS跨站攻击的方法

- Author -

swteen

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

PHP 和 MySQL 开发的 8 个技巧

Oct 09 PHP

PHP中遍历stdclass object的实现代码

Jun 09 PHP

PHP中的生成XML文件的4种方法分享

Oct 06 PHP

基于PHP常用字符串的总结(待续)

Jun 07 PHP

解析php获取字符串的编码格式的方法(函数)

Jun 21 PHP

浅析PHP原理之变量分离/引用(Variables Separation)

Aug 09 PHP

php不写闭合标签的好处

Mar 04 PHP

VB中的RasEnumConnections函数返回632错误解决方法

Jul 29 PHP

destoon调用discuz论坛中带图片帖子的实现方法

Aug 21 PHP

php获取访问者浏览页面的浏览器类型

Jan 23 PHP

PHP重置数组为连续数字索引的几种方式总结

Mar 12 PHP

PhpSpreadsheet中文文档 | Spreadsheet操作教程实例

Apr 01 PHP

php中让人头疼的浮点数运算分析

Oct 10 #PHP

Laravel实现自定义错误输出内容的方法

Oct 10 #PHP

PHP定时任务获取微信access_token的方法

Oct 10 #PHP

php使用SAE原生Mail类实现各种类型邮件发送的方法

Oct 10 #PHP

PHP简单数据库操作类实例【支持增删改查及链式操作】

Oct 10 #PHP

Ajax实现对静态页面的文章访问统计功能示例

Oct 10 #PHP

PhpStorm terminal无法输入命令的解决方法

Oct 09 #PHP

You might like

PHP开发中常用的三个表单验证函数使用小结

2010/03/03 PHP

PHP设计模式之组合模式定义与应用示例

2020/02/01 PHP

WordPress 插件——CoolCode使用方法与下载

2007/07/02 Javascript

input+select(multiple) 实现下拉框输入值

2009/05/21 Javascript

Prototype Class对象学习

2009/07/19 Javascript

jQuery入门知识简介

2010/03/04 Javascript

eval的两组性能测试数据

2012/08/17 Javascript

JavaScript实现鼠标点击后层展开效果的方法

2015/05/13 Javascript

Javascript中String的常用方法实例分析

2015/06/13 Javascript

jquery带下拉菜单和焦点图代码分享

2015/08/24 Javascript

javascript实现计时器的简单方法

2016/02/21 Javascript

学JavaScript七大注意事项【必看】

2016/05/04 Javascript

js中使用使用原型(prototype)定义方法的好处详解

2016/07/04 Javascript

AngularJS在IE下取数据总是缓存问题的解决方法

2016/08/05 Javascript

IONIC自定义subheader的最佳解决方案

2016/09/22 Javascript

微信小程序石头剪刀布实例代码

2017/01/04 Javascript

js防刷新的倒计时代码 js倒计时代码

2017/09/06 Javascript

Vue 开发音乐播放器之歌手页右侧快速入口功能

2018/08/08 Javascript

微信小程序开发之tabbar图标和颜色的实现

2018/10/17 Javascript

Node.js 进程平滑离场剖析小结

2019/01/24 Javascript

vue.js高德地图实现热点图代码实例

2019/04/18 Javascript

vue中使用v-model完成组件间的通信

2019/08/22 Javascript

vue简单封装axios插件和接口的统一管理操作示例

2020/02/02 Javascript

js实现淘宝浏览商品放大镜功能

2020/10/28 Javascript

Python实现数通设备端口使用情况监控实例

2015/07/15 Python

Python实现快速排序和插入排序算法及自定义排序的示例

2016/02/16 Python

Python利用Django如何写restful api接口详解

2018/06/08 Python

Python 如何实现访问者模式

2020/07/28 Python

pytorch 移动端部署之helloworld的使用

2020/10/30 Python

Ben Sherman官方网站：英国男装品牌

2019/10/22 全球购物

如何打开WebSphere远程debug

2014/10/10 面试题

Ref与out有什么不同

2012/11/24 面试题

联谊会主持词

2014/03/26 职场文书

人力资源管理求职信

2014/08/07 职场文书

2014小学生国庆65周年演讲稿

2014/09/21 职场文书

咖啡厅里的创业计划书

2019/08/21 职场文书