xss注入和防范的方法

XSS又称CSS，全称Cross SiteScript(跨站脚本攻击)， XSS攻击类似于SQL注入攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。

1.XSS 输入通常包含 JavaScript 脚本，如弹出恶意警告框：<script>alert("XSS");</script>

 

2.XSS 输入也可能是 HTML 代码段，譬如：

(1).网页不停地刷新 <meta http-equiv="refresh" content="0;">

(2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

 

实就是过滤从表单提交来的数据，使用php过滤函数就可以达到很好的目的。

php点点通给出实例：

<?php
if (isset($_POST['name'])){
$str = trim($_POST['name']);  //清理空格
$str = strip_tags($str);   //过滤html标签
$str = htmlspecialchars($str);   //将字符内容转化为html实体
$str = addslashes($str);
echo $str;
}
?>
<form method="post" action="">
<input name="name" type="text">
<input type="submit" value="提交" >
</form>