Web攻防视频教程第十节 xss filter过滤器-01.pdf

下载文档

0
0
约3.44千字
约 12页
2024-03-24 发布于陕西
举报
版权申诉
保障服务

Web攻防视频教程第十节 xss filter过滤器-01.pdf

1、本文档共12页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

Web攻防训练营

xss-filter过滤器介绍

课程内容

1.htmlspecialchars()函数3.strip_tags()函数

2.htmlentities()函数4.自定义xssfilter

htmlspecialchars()函数

htmlspecialchars(string,flags,character-set,double_encode)

参考链接：/php/func_string_htmlspecialchars.asp

htmlentities()函数

这个函数对于过滤用户输入的数据非常有用。它会将一些特殊字符转换为HTML实体。例如，用户输入

时，就会被该函数转化为HTML实体（lt），输入就被转为实体gt.

htmlentities(string,flags,character-set,double_encode)

参考链接：

/php/func_string_htmlentities.asp

/html/html_entities.asp

返回Whois信息

strip_tags()函数

strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签。

注释：该函数始终会剥离HTML注释。这点无法通过allow参数改变。

注释：该函数是二进制安全的。

strip_tags(string,allow)

参考链接：/php/func_string_strip_tags.asp

自定义xssfilter

functionxss_clean($data)

{

//Fixentity\n;拿来直接使用

$data=str_replace(array(amp;,lt;,gt;),array(amp;amp;,amp;lt;,amp;gt;),$data);

$data=preg_replace(/(#*\w+)[\x00-\x20]+;/u,$1;,$data);

$data=preg_replace(/(#x*[0-9A-F]+);*/iu,$1;,$data);

$data=html_entity_decode($data,ENT_COMPAT,UTF-8);

//Removeanyattributestartingwithonorxmlns

$data=preg_replace(#([^]+?[\x00-\x20\])(?:on|xmlns)[^]*+#iu,$1,$data);

//Removejavascript:andvbscript:protocols

$data=preg_replace(#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-

\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu,$1=$2nojavascript...,$data);

$data=preg_replace(#([a-z]*)[\x00-\x20]*=([\]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x