问XSS攻击防御

EN

我以前使用过HTML Purifier，只允许用户在注释文本框中输入特定的、安全的HTML.它做了非常好的工作，并且有非常好的文档。

对于其他所有内容，比如一个简单的文本框或选择框，在将值写入页面时，我总是通过htmlentities()运行它

htmlentities ($_POST['email'], ENT_QUOTES);

只要所有用户提交的数据都是使用htmlentities()写入页面的，就不会出现XSS问题。

我不确定你到底想要什么，但是如果你想防止XSS攻击你的网站，我会说根本不允许HTML。如果你想允许超文本标记语言，看看StackOverflow是如何做到的。

您可能会发现其他站点遗漏了一些here。

这是一个非常广泛的主题，需要黑客用来实现XSS的技术的详细和最新的知识。但首先，你不应该相信任何用户输入的东西。将其视为黑客攻击您的站点或损坏您的数据库的潜在尝试。

您可以使用许多可用的清理工具来删除潜在的恶意输入，例如：

对于asp.net Microsoft Anti-XSS库，来自codeplex Pack。

对于PHP，你当然可以使用HTMLPurifier。这是一个非常好而且功能强大的工具。