ThinkPHP2.x防范XSS跨站攻击的方法
更新时间:2015年09月25日 16:45:09 作者:deeka
这篇文章主要介绍了ThinkPHP2.x防范XSS跨站攻击的方法,实例分析了ThinkPHP2.x针对XSS跨站攻击的防范技巧,具有一定参考借鉴价值,需要的朋友可以参考下
本文实例讲述了ThinkPHP2.x防范XSS跨站攻击的方法。分享给大家供大家参考。具体如下:
一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下。
原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script。
原理:
http://ask.lenovo.com.cn/index.php?s=1%3Cbody+onload=alert(1)%3E
其中m的值是一个不存在的module,同时是一个完全的script,在异常错误页面中被执行实现XSS跨站攻击。
防范方法:
找到异常错误页面模板ThinkException.tpl.php(2,x),think_exception.tpl(3.x)有两个地方要修改:
第57行
复制代码 代码如下:
echo($_SERVER['PHP_SELF'])
改为
复制代码 代码如下:
echo strip_tags($_SERVER['PHP_SELF'])
第62行
复制代码 代码如下:
echo $e['message']
改为
复制代码 代码如下:
echo strip_tags($e['message'])
另外,ThinkPHP自3.0开始官方已经对TP变量GROUP_NAME,MODULE_NAME,ACTION_NAME,__URL__,__SELF__,__APP__,$_SERVER['PHP_SELF']做了安全处理。
PS:安全不是框架的责任,大家在开发的时候须自己注意。
希望本文所述对大家基于ThinkPHP框架的php程序设计有所帮助。
相关文章
在win系统安装配置 Memcached for PHP 5.3 图文教程
这篇文章主要介绍了在win系统安装配置 Memcached for PHP 5.3 图文教程,需要的朋友可以参考下2015-03-03
本文实现PHP搜索加分页,解决了大量数量浏览的分页问题,力求让看完这篇文章的朋友在看完以后对于分页显示的原理和实现方法有所了解。2016-10-10
Zend Framework 2.0事件管理器(The EventManager)入门教程
这篇文章主要介绍了Zend Framework 2.0事件管理器(The EventManager)入门教程,本文包含快速入门例子、EventManager的选项和方法等,需要的朋友可以参考下2014-08-08
这篇文章主要介绍了Smarty分页实现方法,涉及基于Smarty的数据库查询、分页相关计算与模板操作技巧,需要的朋友可以参考下2016-05-05
这篇文章主要介绍了PHP网页安全认证的实例详解的相关资料,这里提供了两种实现方法,一种基于数据库另一种不基于数据库的方法,希望通过本能帮助到大家,需要的朋友可以参考下2017-09-09
CodeIgniter是一个轻量级但功能强大的PHP框架,基于MVC设计模式,提供了一套丰富的类库,简单易学,高效实用。下面给大家介绍CI框架无限级分类+递归的实现代码,感兴趣的朋友参考下吧2016-11-11
PHP 面向对象程序设计(oop)学习笔记 (五) - PHP 命名空间
PHP 在 5.3.0 以后的版本开始支持命名空间。什么是命名空间?从广义上来说,命名空间是一种封装事物的方法。在很多地方都可以见到这种抽象概念。2014-06-06
PHP中的输出echo、print、printf、sprintf、print_r和var_dump的示例代码
这篇文章主要介绍了PHP中的输出echo、print、printf、sprintf、print_r和var_dump的方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-12-12
这篇文章主要介绍了thinkphp5框架路由原理与用法,结合图文与实例形式详细分析了thinkPHP5框架路由的相关原理、使用方法及操作注意事项,需要的朋友可以参考下2020-02-02
这篇文章主要为大家详细介绍了php实现支付宝当面付,扫码支付功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2018-05-05
最新评论