XSS​又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS​攻击类似于SQL注入​攻击,是Web程序中常见的漏洞,XSS​属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。

1. XSS​ 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert(" ​XSS");</script>

 

2. XSS 输入也可能是 HTML 代码段,譬如:

(1).网页不停地刷新 <meta http-equiv="refresh" content="0;">

(2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

 

实就是过滤从表单提交来的数据,使用php过滤函数就可以达到很好的目的。

php点点通给出实例:


<?php

 

if (isset($_POST['name'])){

 

  $str = trim($_POST['name']);  //清理空格

 

  $str = strip_tags($str);   //过滤html标签

 

  $str = htmlspecialchars($str);   //将字符内容转化为html实体

 

  $str = addslashes($str);

 

  echo $str;

 
}
 
?>
 

<form method="post" action="">

 

<input name="name" type="text">

 

<input type="submit" value="提交" >

 
</form>