php预防XSS攻击，ajax跨域攻击的方法

php中文网

发布时间：2016-06-21 08:48:07

1208人浏览过

来源于php中文网

原创

对网站发动xss攻击的方式有很多种，仅仅使用php的一些内置过滤函数是对付不了的，即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

现在有很多php开发框架都提供关于防XSS攻击的过滤方法，下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数，摘自某开发框架，相比于仅仅使用内置函数应该还是够强了的吧。

Aha

全天候网红营销AI智能体平台

下载

function xss_clean($data){
	// Fix &entity\n;
	$data=str_replace(array('&','<','>'),array('&','<','>'),$data);
	$data=preg_replace('/(&#*\w+)[\x00-\x20]+;/u','$1;',$data);
	$data=preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data);
	$data=html_entity_decode($data,ENT_COMPAT,'UTF-8');
	// Remove any attribute starting with "on" or xmlns
	$data=preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:onxmlns)[^>]*+>#iu','$1>',$data);
	// Remove javascript: and vbscript: protocols
	$data=preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2nojavascript...',$data);
	$data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu','$1=$2novbscript...',$data);
	$data=preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u','$1=$2nomozbinding...',$data);
	// Only works in IE: 
	$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i','$1>',$data);
	$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i','$1>',$data);
	$data=preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu','$1>',$data);
	// Remove namespaced elements (we do not need them)
	$data=preg_replace('#]*+>#i','',$data);
	// http://www.Alixixi.com/
	do{// Remove really unwanted tags
		$old_data=$data;
		$data=preg_replace('#]*+>#i','',$data);
	}while($old_data!==$data);
	// we are done...
	return $data;
}

您可能感兴趣的文章

通用的PHP防注入漏洞攻击的过滤函数代码
PHP检查浏览器参数防止被SQL注入的函数
php提取身份证号码中的生日日期以及验证是否为未成年人的函数
jquery+html+php 实现Ajax无刷新文件上传
防止网站被攻击的办法
smarty模板中使用php函数以及smarty模板中如何对一个变量使用多个函数
php 输出昨天,今天,明天是星期几的方法
强大的PHP 图片处理类(水印、透明度、缩放、锐化、旋转、翻转、剪切、反色)

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：PHP数组关于数字键名的问题下一篇：PHP中输出缓冲

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

2026春节习俗大全

本专题整合了2026春节习俗大全，阅读专题下面的文章了解更多详细内容。

2026.02.11

Yandex网页版官方入口使用指南_国际版与俄罗斯版访问方法解析

本专题全面整理了Yandex搜索引擎的官方入口信息，涵盖国际版与俄罗斯版官网访问方式、网页版直达入口及免登录使用说明，帮助用户快速、安全地进入Yandex官网，高效使用其搜索与相关服务。

200

2026.02.11

虫虫漫画网页版入口与免费阅读指南_正版漫画全集在线查看方法

本专题系统整理了虫虫漫画官网及网页版最新入口，涵盖免登录观看、正版漫画全集在线阅读方式，并汇总稳定可用的访问渠道，帮助用户快速找到虫虫漫画官方页面，轻松在线阅读各类热门漫画内容。

2026.02.11

Docker容器化部署与DevOps实践

本专题面向后端与运维开发者，系统讲解 Docker 容器化技术在实际项目中的应用。内容涵盖 Docker 镜像构建、容器运行机制、Docker Compose 多服务编排，以及在 DevOps 流程中的持续集成与持续部署实践。通过真实场景演示，帮助开发者实现应用的快速部署、环境一致性与运维自动化。

2026.02.11

Rust异步编程与Tokio运行时实战

本专题聚焦 Rust 语言的异步编程模型，深入讲解 async/await 机制与 Tokio 运行时的核心原理。内容包括异步任务调度、Future 执行模型、并发安全、网络 IO 编程以及高并发场景下的性能优化。通过实战示例，帮助开发者使用 Rust 构建高性能、低延迟的后端服务与网络应用。

2026.02.11

Spring Boot企业级开发与MyBatis Plus实战

本专题面向 Java 后端开发者，系统讲解如何基于 Spring Boot 与 MyBatis Plus 构建高效、规范的企业级应用。内容涵盖项目架构设计、数据访问层封装、通用 CRUD 实现、分页与条件查询、代码生成器以及常见性能优化方案。通过完整实战案例，帮助开发者提升后端开发效率，减少重复代码，快速交付稳定可维护的业务系统。

2026.02.11