什么是XSS：这里通俗的讲，就像是SQL注入一样，XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字，但用户提交给你的却是别有用心的可执行javasc ript或其它脚本(这里并没有把破坏样式或文档文本当作攻击)，当你再把这些提交的内容显示到页面上时，XSS攻击就发生了。

关于XSS的攻击方式和场景层出不穷，本文也只是做的普及一些基本的安全防护知识（不涉及flash脚本攻击），如果想彻底研究这种攻击方式推荐一本书>,如果没时间看书的话就把本文看完吧。

本文的需掌握的基础知识：cookie,session工作原理,对TP框架有一定了解。

1：抵御99%的攻击方式,适用于90%的场景.

当网站不涉及复杂的用户交互时，可以对用户所有提交的文本进行htmlspecialchars函数处理。

在THINKPHP3.2版本中的操作步骤是:

一：在项目配置文件中添加配置： 'DEFAULT_FILTER' => 'htmlspecialchars', //默认过滤函数

二: 使用框架带的I方法获取来自用户提交的数据;

例子：M('Member')->save(array('content'=>I('post.content')));这样添加的content内容是经过htmlspecialchars处理过的.

提问：为什么经过htmlspecialchars处理过的文本可以保证是安全的?

回答：纵观XSS各种攻击方式绝大多数依赖'"& 这几个字符中的一个或几个对内容进行注入攻击。而htmlspecialchars函数的作用就是将这些字符转换成无害的HTML 实体;

提问：为什么有这么好的方法，而还有好多网站还是被攻击.

回答：因为好多程序员总会粗心忘记使用这个方法,而遗漏某条数据的过滤。

2:对COOKIE进行IP绑定

cookie里面一般有自动登录信息和session_id,就算对cookie里面的内容全部加了密，cookie的信息一但被别人通过XSS攻击获取后也一样等同于把自己的帐号密码给了别人。

对cookie进行IP绑定，（当然也可以获取用户客户端更多的其它信息进行同时绑定）可以根据用户的IP来判断这个cookie是不是来原始授权用户。

典型的应用示例：

1. 用户设置了自动登录时保存自动登录信息:

2. 
   

3. $auto=I('post.auto');//用户设置了自动登录
   if(!empty($auto)){
   cookie('auto',encrypt(serialize($data)));//将登录信息保存到cookie,其中$data里含有加密后的帐号，密码，和用户的IP，这里的cookie已在全局中设置过期日期为一周
   }

4. 用户关闭浏览器再次访问网站时，进行自动登录

5. 
   

6. if (!is_login()) {//是否未登录状态?
   $auth=cookie('auto');
   if(!empty($auth)){//是否未有自动登录cookie?
   $data=unserialize(decrypt($auth));
   if(!empty($data) && !empty($data['username']) && !empty($data['password']) && !empty($data['last_login_ip'])){
   $user=M('Member')->where(array('username'=>$data['username'],'password'=>$data['password']))->find();
   if(!empty($user['id'])&&($user['last_login_ip']==get_client_ip())){//cookie帐号密码是否有效?//IP来源是否相同?
   login_session($user['id'], $user['username'], $data['last_login_ip']);//用户自动登录成功
   }
   }
   }
   }

优点：大多数场景下可使被XSS攻击盗取的cookie失效。缺点：由于IP存在多台电脑共用的可能，对绑定做不到十分精细。

3:为COOKIE添加httponly配置

1. 最新版本的thinkphp已经支持此参数。

2. 此参数可以保证cookie只在http请求中被传输，而不被页面中的脚本获取，现市面上绝大多数浏览器已经支持。

4:HTML5值得观注的新特性：

2. 为iframe的增加的sandbox属性，可以防止不信任的Web页面执行某些操作.相信这个方法以后会被广泛使用。

5：富文本过滤

1. 富文本过滤是，XSS攻击最令人头疼的话题，不仅是小网站，就连BAT这样的巨头也是三天两头的被其困扰.

更多ThinkPHP相关技术文章，请访问ThinkPHP使用教程栏目进行学习！

# php  # thinkphp  # sql  # html5  # html  # xss  # Array  # Cookie  # Session  # JS  # http  # 自动登录  # 绑定  # 自己的  # 几个  # 却是  # 当你  # 适用于  # 有一定  # 是从  # 帐号 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何快速查询网站的真实建站时间？  Laravel如何实现用户注册和登录？（Auth脚手架指南）  网站优化排名时，需要考虑哪些问题呢？  如何在IIS服务器上快速部署高效网站？  详解MySQL数据库的安装与密码配置  Laravel如何实现多语言支持_Laravel本地化与国际化(i18n)配置教程  制作企业网站建设方案,怎样建设一个公司网站？  网站制作软件免费下载安装,有哪些免费下载的软件网站？  香港服务器选型指南：免备案配置与高效建站方案解析  如何自定义建站之星网站的导航菜单样式？  公司门户网站制作公司有哪些,怎样使用wordpress制作一个企业网站？  如何自定义建站之星模板颜色并下载新样式？  原生JS获取元素集合的子元素宽度实例  laravel怎么实现图片的压缩和裁剪_laravel图片压缩与裁剪方法  Thinkphp 中 distinct 的用法解析  香港代理服务器配置指南：高匿IP选择、跨境加速与SEO优化技巧  Laravel Sail是什么_基于Docker的Laravel本地开发环境Sail入门  Laravel如何与Vue.js集成_Laravel + Vue前后端分离项目搭建指南  Python并发异常传播_错误处理解析【教程】  高防网站服务器：DDoS防御与BGP线路的AI智能防护方案  Java类加载基本过程详细介绍  lovemo网页版地址 lovemo官网手机登录  Windows10怎样连接蓝牙设备_Windows10蓝牙连接步骤【教程】  Laravel事件和监听器如何实现_Laravel Events & Listeners解耦应用的实战教程  如何快速配置高效服务器建站软件？  CSS3怎么给轮播图加过渡动画_transition加transform实现【技巧】  独立制作一个网站多少钱,建立网站需要花多少钱？  如何用AI帮你把自己的生活经历写成一个有趣的故事？  Win11怎么关闭专注助手 Win11关闭免打扰模式设置【操作】  百度浏览器网页无法复制文字怎么办 百度浏览器复制修复  Laravel项目怎么部署到Linux_Laravel Nginx配置详解  阿里云高弹*务器配置方案｜支持分布式架构与多节点部署  历史网站制作软件,华为如何找回被删除的网站？  edge浏览器无法安装扩展 edge浏览器插件安装失败【解决方法】  javascript事件捕获机制【深入分析IE和DOM中的事件模型】  什么是JavaScript解构赋值_解构赋值有哪些实用技巧  浏览器如何快速切换搜索引擎_在地址栏使用不同搜索引擎【搜索】  如何在云主机上快速搭建多站点网站？  Win11摄像头无法使用怎么办_Win11相机隐私权限开启教程【详解】  VIVO手机上del键无效OnKeyListener不响应的原因及解决方法  Laravel如何实现用户密码重置功能？（完整流程代码）  Laravel Eloquent访问器与修改器是什么_Laravel Accessors & Mutators数据处理技巧  IOS倒计时设置UIButton标题title的抖动问题  大型企业网站制作流程,做网站需要注册公司吗？  怎么用AI帮你为初创公司进行市场定位分析？  微信小程序 scroll-view组件实现列表页实例代码  Laravel如何使用Blade模板引擎？（完整语法和示例）  Laravel如何使用Eloquent进行子查询  Laravel如何使用Socialite实现第三方登录？（微信/GitHub示例）  SQL查询语句优化的实用方法总结