总结要点:XSS 攻击
6

XSS 攻击

是什么

  • 跨站脚本攻击 Cross Site Scripting
  • 攻击者向提交的数据中嵌入恶意 JavaScript 代码,当其他用户浏览到该内容时,该恶意代码会被浏览器运行,从而达到攻击用户的目的
  • 常见的 XSS 攻击是获取用户在浏览器上的 Cookies, 然后伪造身份来登录响应的网站

避免 XSS 攻击

  • 对用户提交的数据进行过滤
  • Web 显示网页是对数据进行特殊处理

Laravel 的 Blade 语法 {{ }} 会自动调用 htmlspecialchars 函数来进行输出,避免 XSS 攻击
{!! !!} 却是输出直接数据,不进行过滤'

防止 XSS 攻击的插件

HTMLPurifier

  • 使用白名单机制,名单上有的标签才会允许解析
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

  • 请注意单词拼写,以及中英文排版,参考此页
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`, 更多语法请见这里 Markdown 语法
  • 支持表情,使用方法请见 Emoji 自动补全来咯,可用的 Emoji 请见 :metal: :point_right: Emoji 列表 :star: :sparkles:
  • 上传图片, 支持拖拽和剪切板黏贴上传, 格式限制 - jpg, png, gif
  • 发布框支持本地存储功能,会在内容变更时保存,「提交」按钮点击时清空
  请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!