小編給大家分享一下ThinkPHP如何防止XSS攻擊，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

從網(wǎng)站建設(shè)到定制行業(yè)解決方案，為提供成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、外貿(mào)網(wǎng)站建設(shè)服務(wù)體系，各種行業(yè)企業(yè)客戶提供網(wǎng)站建設(shè)解決方案，助力業(yè)務(wù)快速發(fā)展。創(chuàng)新互聯(lián)將不斷加快創(chuàng)新步伐，提供優(yōu)質(zhì)的建站服務(wù)。

ThinkPHP防止XSS攻擊的方法

1 如果您的項(xiàng)目沒有富文本編輯器 然后就可以使用全局過濾方法 在application下面的config配置文件 加上 htmlspecialchars

// 默認(rèn)全局過濾方法 用逗號(hào)分隔多個(gè)
'default_filter' => 'htmlspecialchars',

如果有富文本編輯器的話 就不適合 使用這種防XSS攻擊

那么使用 composer 安裝插件來處理

命令

composer require ezyang/htmlpurifier

安裝成功以后在application 下面的 common.php 放公共函數(shù)的地方添加如下代碼

if (!function_exists('remove_xss')) {
    //使用htmlpurifier防范xss攻擊
    function remove_xss($string){
    //composer安裝的，不需要此步驟。相對(duì)index.php入口文件，引入HTMLPurifier.auto.php核心文件
    // require_once './plugins/htmlpurifier/HTMLPurifier.auto.php';
    // 生成配置對(duì)象
    $cfg = HTMLPurifier_Config::createDefault();
    // 以下就是配置：
    $cfg -> set('Core.Encoding', 'UTF-8');
    // 設(shè)置允許使用的HTML標(biāo)簽
    $cfg -> set('HTML.Allowed','div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]');
    // 設(shè)置允許出現(xiàn)的CSS樣式屬性
    $cfg -> set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align');
    // 設(shè)置a標(biāo)簽上是否允許使用target="_blank"
    $cfg -> set('HTML.TargetBlank', TRUE);
    // 使用配置生成過濾用的對(duì)象
    $obj = new HTMLPurifier($cfg);
    // 過濾字符串
    return $obj -> purify($string);
}

然后在 application目錄下的config.php 配置文件

把這個(gè)過濾方法改成那個(gè)方法名即可

結(jié)合框架的使用 和插件的使用可以使用這個(gè) 上面的代碼可以可以直接使用的

也可以針對(duì)某個(gè)字段進(jìn)行xss驗(yàn)證

1 修改 command的文件把改成這個(gè) 'default_filter' => 'htmlspecialchars',

2 然后在你要更改的字段 上面 修改成

看完了這篇文章，相信你對(duì)“ThinkPHP如何防止XSS攻擊”有了一定的了解，如果想了解更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

本文名稱：ThinkPHP如何防止XSS攻擊-創(chuàng)新互聯(lián)
標(biāo)題來源：http://weahome.cn/article/gchdo.html