总结要点:XSS 攻击
XSS 攻击
是什么
- 跨站脚本攻击 Cross Site Scripting
- 攻击者向提交的数据中嵌入恶意 JavaScript 代码,当其他用户浏览到该内容时,该恶意代码会被浏览器运行,从而达到攻击用户的目的
- 常见的 XSS 攻击是获取用户在浏览器上的 Cookies, 然后伪造身份来登录响应的网站
避免 XSS 攻击
- 对用户提交的数据进行过滤
- Web 显示网页是对数据进行特殊处理
Laravel 的 Blade 语法
{{ }}
会自动调用htmlspecialchars
函数来进行输出,避免 XSS 攻击
而{!! !!}
却是输出直接数据,不进行过滤'
防止 XSS 攻击的插件
HTMLPurifier
- 使用白名单机制,名单上有的标签才会允许解析
推荐文章: