防止XSS攻击的关键是严格过滤和转义用户输入。1. 使用htmlspecialchars()转义HTML特殊字符,确保输出安全;2. 对富文本采用白名单过滤危险标签和属性,如移除on事件和javascript:协议;3. 推荐使用HTML Purifier等专业库处理复杂HTML内容;4. 建立统一的输入输出策略,不同上下文(HTML、属性、JS、URL)使用对应转义函数,始终假设输入不可信,优先选用成熟方案而非自定义正则。
防止XSS攻击的关键在于对用户输入的字符串进行严格过滤和转义,尤其是在输出到HTML页面时。PHP中可以通过组合使用内置函数和自定义规则来实现安全的字符串处理。
1. 使用htmlspecialchars()转义特殊字符
这是防御XSS最基础也是最重要的一步。将用户输入中的HTML特殊字符转换为HTML实体,防止浏览器将其解析为可执行代码。
例如:
$unsafe_string = "";
$safe_string = htmlspecialchars($unsafe_string, ENT_QUOTES, 'UTF-8');
echo $safe_string; // 输出:zuojiankuohaophpcnscriptyoujiankuohaophpcnalert('xss')zuojiankuohaophpcn/scriptyoujiankuohaophpcn
说明:ENT_QUOTES 会同时转义单引号和双引号,确保在属性值中也安全。
立即学习“PHP免费学习笔记(深入)”;
2. 过滤或移除危险标签和属性(适用于富文本)
如果允许用户提交HTML内容(如文章、评论),不能简单转义全部内容,而应使用白名单方式过滤。
可以结合 strip_tags() 和正则表达式限制允许的标签:
$allowed_tags = '
'; $clean_content = strip_tags($user_input, $allowed_tags);
进一步过滤危险属性(如onclick、onload、javascript:协议):
$clean_content = preg_replace('/<([^>]+)(\s+on\w+=.*?)>/i', '<$1>', $clean_content); // 移除内联事件
$clean_content = preg_replace('/href\s*=\s*"javascript:/i', 'href="#"', $clean_content); // 拦截js伪协议
3. 使用HTML Purifier等专业库(推荐用于复杂场景)
对于需要支持丰富格式的内容,建议使用 HTMLPurifier 这类专门设计的安全库,它基于白名单机制,能有效清理恶意代码。
安装方法(Composer):
composer require ezyang/htmlpurifier
使用示例:
require_once 'vendor/ezyang/htmlpurifier/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p,b,i,a[href],img[src]');
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($user_input);
4. 统一输入输出处理策略
不要依赖单一环节过滤。建议:
- 输入时做基础验证(长度、格式、是否包含非法字符)
- 存储时不急于转义,保持原始数据
- 输出到HTML时根据上下文进行相应编码
不同上下文需使用不同转义方式:
- HTML内容:htmlspecialchars()
- HTML属性:htmlspecialchars(, ENT_QUOTES)
- JavaScript变量:json_encode()
- URL参数:urlencode() 基本上就这些。关键是始终假设用户输入不可信,按最小权限原则处理字符串,优先使用成熟方案而非自行拼接正则。
