<blockquote>防范XSS攻击的核心是管好输入与输出,重点在于输出转义。首先对用户输入进行严格验证,使用filter_var()等函数确保数据合法性;其次根据不同上下文对输出进行转义:HTML用htmlspecialchars()、URL用urlencode()、JavaScript用json_encode()、CSS应避免或严格过滤;同时设置HttpOnly Cookie防止脚本窃取会话,并通过Content-Security-Policy(CSP)响应头限制资源加载,进一步阻止恶意脚本执行,实现多层次防御。</blockquote>
<p><img src="https://img.php.cn/upload/article/001/503/042/175844094228915.png" alt="php动态网页xss攻击防范_php动态网页跨站脚本攻击防护指南"></p>
<p>XSS攻击,也就是跨站脚本攻击,在PHP动态网页里防范起来,核心思路其实就两点:管好输入,更要管好输出。简单说,就是任何来自用户的数据,在显示到页面上之前,都必须被当成潜在的恶意代码来处理,进行严格的消毒和转义。</p>
<h3>解决方案</h3>
<p>防范PHP动态网页的XSS攻击,我们需要一套多层次、系统性的策略,这绝不是一个函数就能解决的事。</p>
<p>首先,<strong>输入验证</strong>是第一道防线,但它不是万能的。我们必须对所有接收到的用户输入进行严格的验证,包括数据类型、长度、格式、内容范围等。比如,如果期待一个数字,那就只允许数字;如果期待一个邮箱,那就用<a style="color:#f60; text-decoration:underline;" title="正则表达式" href="https://www.php.cn/zt/15947.html" target="_blank">正则表达式</a>验证其格式。PHP的<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">filter_var()</pre>
登录后复制
</div>函数在这里非常好用,可以帮助我们过滤或验证各种类型的数据。但请记住,输入验证的目的是为了确保数据的合法性,而不是为了防范XSS。一个看似合法的输入,比如一段包含HTML标签的文本,如果直接输出,仍然可能导致XSS。</p>
<p>其次,也是最关键的一步,是<strong>输出转义</strong>。这是防范XSS的黄金法则。任何要显示到HTML页面上的用户生成内容,都必须根据其所在的上下文进行恰当的转义。</p>
<p><span>立即学习</span>“<a href="https://pan.quark.cn/s/7fc7563c4182" style="text-decoration: underline !important; color: blue; font-weight: bolder;" rel="nofollow" target="_blank">PHP免费学习笔记(深入)</a>”;</p>
<ul>
<li>
<strong>HTML上下文转义:</strong> 当用户输入要插入到HTML标签内部或属性值中时,使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars()</pre>
登录后复制
</div>函数将<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">&</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">"</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">'</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">></pre>
登录后复制
</div>等特殊字符转换为HTML实体。务必使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">ENT_QUOTES</pre>
登录后复制
</div>参数来转义单引号和双引号,并指定字符编码,例如<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars($string, ENT_QUOTES | ENT_HTML5, 'UTF-8')</pre>
登录后复制
</div>。</li>
<li>
<strong>URL上下文转义:</strong> 当用户输入要作为URL的一部分时(例如查询参数),使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">urlencode()</pre>
登录后复制
</div>函数进行编码。</li>
<li>
<strong>JavaScript上下文转义:</strong> 如果用户输入需要嵌入到JavaScript代码中,情况会复杂一些。最安全的方式是避免直接将用户输入拼接到JS代码中。如果确实需要,可以考虑使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">json_encode()</pre>
登录后复制
</div>将数据转换为JSON字符串,然后由<a style="color:#f60; text-decoration:underline;" title="前端" href="https://www.php.cn/zt/15813.html" target="_blank">前端</a>JS解析。或者,进行严格的JS字符转义,但这通常比<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars</pre>
登录后复制
</div>更复杂,且容易出错。</li>
<li>
<strong>CSS上下文转义:</strong> 避免将用户输入直接插入到CSS样式中,这极易导致XSS。如果非要如此,需要进行非常严格的CSS转义,通常建议使用白名单机制。</li>
</ul>
<p>再者,<strong>设置HTTP响应头</strong>也能提供额外的安全层。</p>
<ul>
<li>
<strong>Content-Security-Policy (CSP):</strong> 这是一个强大的安全策略,通过HTTP响应头告诉浏览器哪些资源可以被加载和执行。它可以严格限制脚本的来源,防止恶意脚本的注入。</li>
<li>
<strong>HttpOnly Cookies:</strong> 将敏感的Session ID等Cookie设置为<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">HttpOnly</pre>
登录后复制
</div>,这样JavaScript就无法访问这些Cookie,即使发生XSS,也难以窃取用户的会话。</li>
</ul>
<p>最后,<strong>保持软件更新</strong>,包括PHP版本、框架和所有依赖库。安全漏洞往往存在于旧版本中,及时更新可以修补已知问题。</p>
<h3>为什么只进行输入验证还不够?</h3>
<p>说实话,很多人在谈到安全时,第一反应就是“验证输入”。这当然没错,输入验证是必要的,它能确保我们拿到的数据符合预期,防止一些简单的注入,比如SQL注入,也能防止一些格式错误导致的问题。但要说防XSS,光靠输入验证,那可真是远远不够的。</p>
<p>你想啊,XSS攻击的本质是“脚本注入”,它并不关心你输入的数据是不是“合法”的,它关心的是你的浏览器如何解析和执行这些数据。举个例子,如果你的网站允许用户评论,而评论内容里包含了<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><script>alert('XSS')</script></pre>
登录后复制
</div>这段代码。如果你的输入验证只是简单地检查长度,或者是不是“纯文本”(比如不允许HTML标签),那这段代码可能确实会被过滤掉。</p>
<p>但如果你的验证稍微宽松一点,允许用户输入一些基本的HTML标签,比如<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><b></pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><i></pre>
登录后复制
</div>。那么,攻击者可能就会构造出像这样的内容:<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">@@##@@</pre>
登录后复制
</div>。这段代码在HTML语法上是完全合法的,<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">onerror</pre>
登录后复制
</div>是<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">@@##@@</pre>
登录后复制
</div>标签的一个标准属性。你的输入验证可能根本不会把它当成“恶意”的。然而,当浏览器尝试加载一个不存在的图片,并触发<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">onerror</pre>
登录后复制
</div>事件时,恶意脚本就被执行了。</p>
<p>所以,核心问题在于,输入验证是针对服务器端对数据的“理解”和“处理”来做的,而XSS是针对浏览器端对数据的“渲染”和“执行”来做的。两者不在一个维度上。一个在服务器看来“合法”的数据,在浏览器看来却可能是一个危险的指令。这就是为什么我们总是强调“输出转义”才是防范XSS的最终防线,因为它是在数据即将呈现给用户时,确保浏览器不会误解这些数据。</p>
<h3>PHP中常用的XSS转义函数有哪些,如何正确使用?</h3>
<p>在PHP里,提到XSS转义,最常用的几个函数确实是我们的老朋友了,但用对地方、用对参数,这里面还是有些门道的。</p>
<ol>
<li>
<p><strong><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars()</pre>
登录后复制
</div></strong>
这是处理HTML上下文中最常用的函数,它的主要作用是将HTML中的特殊字符转换成HTML实体。</p>
<ul>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">&</pre>
登录后复制
</div> (和号) 会变成 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">&</pre>
登录后复制
</div></li>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">"</pre>
登录后复制
</div> (双引号) 会变成 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">"</pre>
登录后复制
</div></li>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">'</pre>
登录后复制
</div> (单引号) 会变成 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">'</pre>
登录后复制
</div> (或 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">'</pre>
登录后复制
</div>,取决于HTML版本和参数)</li>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><</pre>
登录后复制
&lt;/div&gt; (小于号) 会变成 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;<&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/li&gt;
&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt; (大于号) 会变成 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;>&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;如何正确使用:&lt;/strong&gt;&lt;/p&gt;
&lt;div class=&quot;aritcle_card&quot;&gt;
&lt;a class=&quot;aritcle_card_img&quot; href=&quot;/ai/2371&quot;&gt;
&lt;img src=&quot;https://img.php.cn/upload/ai_manual/001/246/273/694118c4215f8325.png&quot; alt=&quot;MagicArena&quot;&gt;
&lt;/a&gt;
&lt;div class=&quot;aritcle_card_info&quot;&gt;
&lt;a href=&quot;/ai/2371&quot;&gt;MagicArena&lt;/a&gt;
&lt;p&gt;字节跳动推出的视觉大模型对战平台&lt;/p&gt;
&lt;div class=&quot;&quot;&gt;
&lt;img src=&quot;/static/images/card_xiazai.png&quot; alt=&quot;MagicArena&quot;&gt;
&lt;span&gt;163&lt;/span&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;a href=&quot;/ai/2371&quot; class=&quot;aritcle_card_btn&quot;&gt;
&lt;span&gt;查看详情&lt;/span&gt;
&lt;img src=&quot;/static/images/cardxiayige-3.png&quot; alt=&quot;MagicArena&quot;&gt;
&lt;/a&gt;
&lt;/div&gt;
&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class='brush:php;toolbar:false;'&gt;$userInput = &quot;&lt;script&gt;alert('XSS')&lt;/script&gt;&quot;;
// 推荐用法:指定ENT_QUOTES和UTF-8编码
echo htmlspecialchars($userInput, ENT_QUOTES | ENT_HTML5, 'UTF-8');
// 输出: <script>alert(&amp;#039;XSS&amp;#039;)</script>&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;ul&gt;
&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;ENT_QUOTES&lt;/pre&gt;
登录后复制
&lt;/div&gt;:这个参数非常重要,它会转义单引号和双引号。如果你的用户输入可能会出现在HTML属性值中(例如&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;input value=&quot;用户输入&quot;&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;),那么不转义引号就可能导致属性注入。&lt;/li&gt;
&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;ENT_HTML5&lt;/pre&gt;
登录后复制
&lt;/div&gt;:如果你确定你的页面是HTML5,可以使用这个,它会以HTML5的方式处理实体。&lt;/li&gt;
&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;UTF-8&lt;/pre&gt;
登录后复制
&lt;/div&gt;:明确指定字符编码,避免乱码和潜在的编码攻击。&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlentities()&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;
这个函数功能比&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlspecialchars()&lt;/pre&gt;
登录后复制
&lt;/div&gt;更强大,它会把所有可能存在的HTML字符都转换成对应的HTML实体。比如,&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;©&lt;/pre&gt;
登录后复制
&lt;/div&gt; 会变成 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&amp;copy;&lt;/pre&gt;
登录后复制
&lt;/div&gt;。&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;如何正确使用:&lt;/strong&gt;&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class='brush:php;toolbar:false;'&gt;$userInput = &quot;© 版权所有 &lt;script&gt;&quot;;
echo htmlentities($userInput, ENT_QUOTES | ENT_HTML5, 'UTF-8');
// 输出: &amp;copy; &amp;#x7248;&amp;#x6743;&amp;#x6240;&amp;#x6709; <script>&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;p&gt;虽然它转义得更彻底,但实际应用中,&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlspecialchars()&lt;/pre&gt;
登录后复制
&lt;/div&gt;通常就足够了,因为它只转义那些对HTML结构有影响的特殊字符,能保持原始文本的可读性。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlentities()&lt;/pre&gt;
登录后复制
&lt;/div&gt;可能会让页面源码变得非常冗长,除非你有特殊需求,否则不常用。&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;urlencode()&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;
这个函数用于将字符串编码成URL安全的格式,主要用在URL的查询参数或路径片段中。它会将非字母数字字符转换成百分号编码(&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;%xx&lt;/pre&gt;
登录后复制
&lt;/div&gt;)。&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;如何正确使用:&lt;/strong&gt;&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class='brush:php;toolbar:false;'&gt;$paramValue = &quot;Hello World! &amp; &lt; &gt;&quot;;
$url = &quot;/search?q=&quot; . urlencode($paramValue);
echo $url;
// 输出: /search?q=Hello+World%21+%26+%3C+%3E&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;p&gt;如果你要将用户输入作为URL的一部分,比如重定向到一个包含用户名的页面,那就必须使用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;urlencode()&lt;/pre&gt;
登录后复制
&lt;/div&gt;。&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode()&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;
虽然它不是直接的“XSS转义”函数,但在将PHP数据传递给JavaScript时,&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode()&lt;/pre&gt;
登录后复制
&lt;/div&gt;是防止XSS的利器。它会将PHP数组或对象转换为JSON格式的字符串,并自动处理其中的特殊字符(如引号、斜杠等),使其在JavaScript中安全地被解析。&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;如何正确使用:&lt;/strong&gt;&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class='brush:php;toolbar:false;'&gt;$data = [
'name' =&gt; 'John Doe',
'message' =&gt; '&lt;script&gt;alert(&quot;XSS&quot;)&lt;/script&gt;'
];
echo '&lt;script&gt;';
echo 'var userData = ' . json_encode($data) . ';';
echo 'console.log(userData.message);';
echo '&lt;/script&gt;';
// 输出的JS代码中,message会是:'&lt;script&gt;alert(\&quot;XSS\&quot;)&lt;\/script&gt;',作为字符串安全地存在&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;p&gt;通过&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode()&lt;/pre&gt;
登录后复制
&lt;/div&gt;,恶意脚本会被当成普通字符串处理,而不是被JavaScript引擎执行。这是将PHP变量安全地传递给前端JavaScript的最佳实践。&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;总结一下,选择哪个函数,完全取决于你的用户输入将要出现在哪个上下文。在HTML标签或属性里用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlspecialchars&lt;/pre&gt;
登录后复制
&lt;/div&gt;,在URL里用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;urlencode&lt;/pre&gt;
登录后复制
&lt;/div&gt;,在JavaScript里用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode&lt;/pre&gt;
登录后复制
&lt;/div&gt;。搞清楚上下文,是正确防范XSS的关键。&lt;/p&gt;
&lt;h3&gt;如何利用Content-Security-Policy (CSP) 进一步强化XSS防御?&lt;/h3&gt;
&lt;p&gt;说实话,即便我们把输入验证和输出转义做得再好,也总有那么一丝不确定性,或者说,总有百密一疏的可能。这时候,Content-Security-Policy (CSP) 就显得特别重要了,它就像是给浏览器安了一个智能安检门,能从源头上限制哪些内容可以被加载和执行,从而为XSS防御提供一个强大的额外安全层。&lt;/p&gt;
&lt;p&gt;CSP的原理是通过HTTP响应头来告诉浏览器,哪些资源(比如脚本、样式、图片、字体等)可以从哪些“源”加载。如果浏览器尝试加载一个不被允许的资源,它就会被阻止。这极大地限制了攻击者即使成功注入了恶意脚本,也无法执行或加载外部资源的可能。&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;如何在PHP中配置CSP:&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;CSP是通过HTTP响应头来设置的,所以在PHP中,我们通常使用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;header()&lt;/pre&gt;
登录后复制
&lt;/div&gt;函数来发送它。&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class='brush:php;toolbar:false;'&gt;&lt;?php
// 这是一个基本的CSP策略示例
// 允许所有资源(除了object-src)从当前源加载
// script-src 明确允许从当前源和 trusted.cdn.com 加载脚本
// object-src 'none' 阻止 Flash 等插件的加载
$csp_policy = &quot;Content-Security-Policy: &quot; .
&quot;default-src 'self'; &quot; .
&quot;script-src 'self' https://trusted.cdn.com; &quot; .
&quot;style-src 'self' 'unsafe-inline'; &quot; . // 'unsafe-inline' 是为了兼容内联样式,但最好避免
&quot;img-src 'self' data:; &quot; .
&quot;font-src 'self'; &quot; .
&quot;connect-src 'self'; &quot; .
&quot;object-src 'none'; &quot; .
&quot;frame-ancestors 'self'; &quot; . // 防止点击劫持
&quot;base-uri 'self'; &quot; . // 限制 &lt;base&gt; 标签的 URL
&quot;form-action 'self';&quot;; // 限制 &lt;form&gt; 提交的目标
header($csp_policy);
// ... 你的PHP页面内容
?&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;p&gt;&lt;strong&gt;CSP指令解析:&lt;/strong&gt;&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;default-src 'self'&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 这是最常用的指令,它定义了所有未明确指定类型的资源的默认加载策略。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;'self'&lt;/pre&gt;
登录后复制
&lt;/div&gt;表示只允许从当前域(包括协议和端口)加载资源。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;script-src&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 定义JavaScript脚本的加载源。你可以指定多个源,比如&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;'self'&lt;/pre&gt;
登录后复制
&lt;/div&gt;(当前域)、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;https://cdn.example.com&lt;/pre&gt;
登录后复制
&lt;/div&gt;(某个CDN)、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;'unsafe-inline'&lt;/pre&gt;
登录后复制
&lt;/div&gt;(允许内联脚本,但&lt;strong&gt;强烈不推荐&lt;/strong&gt;用于生产环境,因为它会削弱XSS防御)、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;'unsafe-eval'&lt;/pre&gt;
登录后复制
&lt;/div&gt;(允许&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;eval()&lt;/pre&gt;
登录后复制
&lt;/div&gt;等函数,同样&lt;strong&gt;强烈不推荐&lt;/strong&gt;)。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;style-src&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 定义CSS样式的加载源。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;img-src&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 定义图片资源的加载源。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;data:&lt;/pre&gt;
登录后复制
&lt;/div&gt; 允许加载Base64编码的图片。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;object-src 'none'&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 这是一个非常好的实践,它会阻止浏览器加载像Flash、Java Applets这样的插件。这些插件往往是攻击的潜在目标。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;connect-src&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 定义&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;XMLHttpRequest&lt;/pre&gt;
登录后复制
&lt;/div&gt;、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;WebSocket&lt;/pre&gt;
登录后复制
&lt;/div&gt;等连接的源。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;frame-ancestors 'self'&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 限制哪些源可以嵌入你的页面作为&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;iframe&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;frame&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;object&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;等,有助于防范点击劫持(Clickjacking)。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;base-uri 'self'&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 限制&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;base&lt;/pre&gt;
登录后复制
&lt;/div&gt;标签可以指定的URL。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;form-action 'self'&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;: 限制&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;form&lt;/pre&gt;
登录后复制
&lt;/div&gt;表单可以提交到的URL。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;强化防御的进阶技巧:&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;nonce&lt;/pre&gt;
登录后复制
&lt;/div&gt; 和 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;hash&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;为了避免使用不安全的&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;'unsafe-inline'&lt;/pre&gt;
登录后复制
&lt;/div&gt;,CSP提供了更精细的控制方式:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;nonce&lt;/pre&gt;
登录后复制
&lt;/div&gt; (一次性随机数)&lt;/strong&gt;:在&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;script-src&lt;/pre&gt;
登录后复制
&lt;/div&gt;或&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;style-src&lt;/pre&gt;
登录后复制
&lt;/div&gt;中,你可以生成一个随机的nonce值,并将其添加到CSP头和对应的&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;script&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;或&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;style&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;标签中。只有带有正确nonce的内联脚本/样式才会被执行。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class='brush:php;toolbar:false;'&gt;$nonce = base64_encode(random_bytes(16)); // 生成一个随机nonce
header(&quot;Content-Security-Policy: script-src 'nonce-{$nonce}' 'self';&quot;);
// 在HTML中:
// &lt;script nonce=&quot;&lt;?php echo $nonce; ?&gt;&quot;&gt;alert('Hello CSP');&lt;/script&gt;&lt;/pre&gt;
登录后复制
&lt;/div&gt;&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;hash&lt;/pre&gt;
登录后复制
&lt;/div&gt; (哈希值)&lt;/strong&gt;:你也可以计算内联脚本或样式的SHA256、SHA384或SHA512哈希值,并将其添加到CSP头中。浏览器会检查脚本的哈希值是否匹配。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;部署CSP的挑战:&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;CSP虽然强大,但部署起来确实有点烧脑。&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;strong&gt;兼容性问题:&lt;/strong&gt; 如果你的网站使用了大量的第三方JS库或内联脚本,配置一个严格的CSP可能会导致功能失效。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;迭代过程:&lt;/strong&gt; 通常需要先以报告模式(&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;Content-Security-Policy-Report-Only&lt;/pre&gt;
登录后复制
&lt;/div&gt;)部署CSP,观察违规报告,逐步调整策略,直到所有合法资源都能正常加载。&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;维护成本:&lt;/strong&gt; 每次添加新的脚本或样式源,都需要更新CSP策略。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;尽管有这些挑战,CSP仍然是现代Web应用不可或缺的安全措施。它将XSS的防线从“代码层面”延伸到了“浏览器层面”,即使攻击者突破了你的代码防线,CSP也能在浏览器端阻止恶意脚本的执行,大大降低了XSS攻击的风险。&lt;/p&gt;
&lt;img src=&quot;invalid&quot; onerror=&quot;alert('XSS')&quot; alt=&quot;PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南&quot; &gt;&lt;img alt=&quot;PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南&quot; &gt;
以上就是PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南的详细内容,更多请关注php中文网其它相关文章!
广告
178
收藏
