對網站發動XSS攻擊的方式有很多種，僅僅使用php的一些內置過濾函數是對付不了的，即使你將filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags這些函數都使用上了也不一定能保證絕對的安全。

那么如何預防 XSS 注入？主要還是需要在用戶數據過濾方面得考慮周全，在這里不完全總結下幾個 Tips

1. 假定所有的用戶輸入數據都是“邪惡”的

2. 弱類型的腳本語言必須保證類型和期望的一致

3. 考慮周全的正則表達式

4. strip_tags、htmlspecialchars 這類函數很好用

5. 外部的 Javascript 不一定就是可靠的

6. 引號過濾必須要重點注意

7. 除去不必要的 HTML 注釋

8. Exploer 求你放過我吧……

方法一，利用php htmlentities函數

例子

php防止XSS跨站腳本攻擊的方法:是針對非法的HTML代碼包括單雙引號等，使用htmlspecialchars()函數 。

在使用htmlspecialchars()函數的時候注意第二個參數, 直接用htmlspecialchars($string) 的話,第二個參數默認是ENT_COMPAT,函數默認只是轉化雙引號(“), 不對單引號(‘)做轉義.

所以,htmlspecialchars函數更多的時候要加上第二個參數, 應該這樣用: htmlspecialchars($string,ENT_QUOTES).當然,如果需要不轉化如何的引號,用htmlspecialchars($string,ENT_NOQUOTES).

另外, 盡量少用htmlentities, 在全部英文的時候htmlentities和htmlspecialchars沒有區別,都可以達到目的.但是,中文情況下, htmlentities卻會轉化所有的html代碼，連同里面的它無法識別的中文字符也給轉化了。

htmlentities和htmlspecialchars這兩個函數對 '之類的字符串支持不好,都不能轉化, 所以用htmlentities和htmlspecialchars轉化的字符串只能防止XSS攻擊,不能防止SQL注入攻擊.

所有有打印的語句如echo，print等 在打印前都要使用htmlentities() 進行過濾，這樣可以防止Xss，注意中文要寫出htmlentities($name,ENT_NOQUOTES,GB2312) 。

方法二，什么也不多說我們給一個函數

例子

functionxss_clean($data){

//Fix &entity＼n;

$data=str_replace(array('&','<','>'),array('&','<','>'),$data);

$data=preg_replace('/(&#*＼w+)[＼x00-＼x20]+;/u','$1;',$data);

$data=preg_replace('/(&#x*[0-9A-F]+);*/iu','$1;',$data);

$data=html_entity_decode($data,ENT_COMPAT,'UTF-8');

//Remove any attribute starting with "on" or xmlns

$data=preg_replace('#(<[^>]+?[＼x00-＼x20"＼'])(?:on|xmlns)[^>]*+>#iu','$1>',$data);

//Remove javascript: and vbscript: protocols

$data=preg_replace('#([a-z]*)[＼x00-＼x20]*=[＼x00-＼x20]*([`＼'"]*)[＼x00-＼x20]*j[＼x00-＼x20]*a[＼x00-＼x20]*v[＼x00-＼x20]*a[＼x00-＼x20]*s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:#iu','$1=$2nojavascript...',$data);

$data=preg_replace('#([a-z]*)[＼x00-＼x20]*=([＼'"]*)[＼x00-＼x20]*v[＼x00-＼x20]*b[＼x00-＼x20]*s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:#iu','$1=$2novbscript...',$data);

$data=preg_replace('#([a-z]*)[＼x00-＼x20]*=([＼'"]*)[＼x00-＼x20]*-moz-binding[＼x00-＼x20]*:#u','$1=$2nomozbinding...',$data);

//Only works in IE:

$data=preg_replace('#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼'"]*.*?expression[＼x00-＼x20]*＼([^>]*+>#i','$1>',$data);

$data=preg_replace('#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼'"]*.*?behaviour[＼x00-＼x20]*＼([^>]*+>#i','$1>',$data);

$data=preg_replace('#(<[^>]+?)style[＼x00-＼x20]*=[＼x00-＼x20]*[`＼'"]*.*?s[＼x00-＼x20]*c[＼x00-＼x20]*r[＼x00-＼x20]*i[＼x00-＼x20]*p[＼x00-＼x20]*t[＼x00-＼x20]*:*[^>]*+>#iu','$1>',$data);

//Remove namespaced elements (we do not need them)

$data=preg_replace('#]*+>#i','',$data);

do{//Remove really unwanted tags

$old_data=$data;

$data=preg_replace('#]*+>#i','',$data);

}while($old_data!==$data);

//we are done...

return$data;

}

方法三：

//php防注入和XSS攻擊通用過濾.

$_GET&&

SafeFilter($_GET);

$_POST&&

SafeFilter($_POST);

$_COOKIE&&

SafeFilter($_COOKIE);

functionSafeFilter

(&$arr)

{

$ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');

if(is_array($arr))

{

foreach($arras$key=>$value)

{

if(!is_array($value))

{

if(!get_magic_quotes_gpc())//不對magic_quotes_gpc轉義過的字符使用addslashes(),避免雙重轉義。

{

$value=addslashes($value);//給單引號（'）、雙引號（"）、反斜線（\）與

NUL（NULL 字符）加上反斜線轉義

}

$value=preg_replace($ra,'',$value);//刪除非打印字符，粗暴式過濾xss可疑字符串$arr[$key]

= htmlentities(strip_tags($value));//去除

HTML 和 PHP 標記并轉換為 HTML 實體

}

else

{

SafeFilter($arr[$key]);

}

}

}

}

?>

1.1 什么是XSS攻擊

XSS是一種經常出現在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被黑客用來編寫危害性更大的網絡釣魚(Phishing)攻擊而變得廣為人知。對于跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的“緩沖區溢出攻擊“，而JavaScript是新型的“ShellCode”。

數據來源：2007 OWASP Top 10的MITRE數據

注：OWASP是世界上最知名的Web安全與數據庫安全研究組織

在2007年OWASP所統計的所有安全威脅中，跨站腳本攻擊占到了22%，高居所有Web威脅之首。

XSS攻擊的危害包括

1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號

2、控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力

3、盜竊企業重要的具有商業價值的資料

4、非法轉賬

5、強制發送電子郵件

6、網站掛馬

7、控制受害者機器向其它網站發起攻擊

1.2 XSS漏洞的分類

XSS漏洞按照攻擊利用手法的不同，有以下三種類型：

類型A，本地利用漏洞，這種漏洞存在于頁面中客戶端腳本自身。其攻擊過程如下所示：

Alice給Bob發送一個惡意構造了Web的URL。

Bob點擊并查看了這個URL。

惡意頁面中的JavaScript打開一個具有漏洞的HTML頁面并將其安裝在Bob電腦上。

具有漏洞的HTML頁面包含了在Bob電腦本地域執行的JavaScript。

Alice的惡意腳本可以在Bob的電腦上執行Bob所持有的權限下的命令。

類型B，反射式漏洞，這種漏洞和類型A有些類似，不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數據時，如果未經驗證的用戶數據被包含在頁面中而未經HTML實體編碼，客戶端代碼便能夠注入到動態頁面中。其攻擊過程如下：

Alice經常瀏覽某個網站，此網站為Bob所擁有。Bob的站點運行Alice使用用戶名/密碼進行登錄，并存儲敏感信息(比如銀行帳戶信息)。

Charly發現Bob的站點包含反射性的XSS漏洞。

Charly編寫一個利用漏洞的URL，并將其冒充為來自Bob的郵件發送給Alice。

Alice在登錄到Bob的站點后，瀏覽Charly提供的URL。

嵌入到URL中的惡意腳本在Alice的瀏覽器中執行，就像它直接來自Bob的服務器一樣。此腳本盜竊敏感信息(授權、信用卡、帳號信息等)然后在Alice完全不知情的情況下將這些信息發送到Charly的Web站點。

類型C，存儲式漏洞，該類型是應用最為廣泛而且有可能影響到Web服務器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務器上，使得所有訪問該頁面的用戶都面臨信息泄漏的可能，其中也包括了Web服務器的管理員。其攻擊過程如下：

Bob擁有一個Web站點，該站點允許用戶發布信息/瀏覽已發布的信息。

Charly注意到Bob的站點具有類型C的XSS漏洞。

Charly發布一個熱點信息，吸引其它用戶紛紛閱讀。

Bob或者是任何的其他人如Alice瀏覽該信息，其會話cookies或者其它信息將被Charly盜走。

類型A直接威脅用戶個體，而類型B和類型C所威脅的對象都是企業級Web應用。

傳統防御技術

編輯

2.1.1基于特征的防御

XSS漏洞和著名的SQL注入漏洞一樣，都是利用了Web頁面的編寫不完善，所以每一個漏洞所利用和針對的弱點都不盡相同。這就給XSS漏洞防御帶來了困難：不可能以單一特征來概括所有XSS攻擊。

傳統XSS防御多采用特征匹配方式，在所有提交的信息中都進行匹配檢查。對于這種類型的XSS攻擊，采用的模式匹配方法一般會需要對“javascript”這個關鍵字進行檢索，一旦發現提交信息中包含“javascript”，就認定為XSS攻擊。這種檢測方法的缺陷顯而易見：駭客可以通過插入字符或完全編碼的方式躲避檢測：

躲避方法1)在javascript中加入多個tab鍵，得到

< IMG SRC="jav ascript:alert('XSS');" >;

躲避方法2) 在javascript中加入(空格)字符，得到

< IMG SRC="javascri pt:alert('XSS');" >;

躲避方法3) 在javascript中加入(回車)字符，得到

< IMG SRC="jav

ascript:alert('XSS');" >;

躲避方法4)在javascript中的每個字符間加入回車換行符，得到

< IMG SRC="javascrip\r

\nt:alert('XSS');" >

躲避方法5)對"javascript:alert('XSS')"采用完全編碼，得到

< IMGSRC=javascrip?74:alert('XSS') >

上述方法都可以很容易的躲避基于特征的檢測。而除了會有大量的漏報外，基于特征的

還存在大量的誤報可能：在上面的例子中，對上述某網站這樣一個地址，由于包含了關鍵字“javascript”，也將會觸發報警。

2.1.2 基于代碼修改的防御

和SQL注入防御一樣，XSS攻擊也是利用了Web頁面的編寫疏忽，所以還有一種方法就是從Web應用開發的角度來避免：

步驟1、對所有用戶提交內容進行可靠的輸入驗證，包括對URL、查詢關鍵字、HTTP頭、POST數據等，僅接受指定長度范圍內、采用適當格式、采用所預期的字符的內容提交，對其他的一律過濾。

步驟2、實現Session標記(session tokens)、CAPTCHA系統或者HTTP引用頭檢查，以防功能被第三方網站所執行。

步驟3、確認接收的的內容被妥善的規范化，僅包含最小的、安全的Tag(沒有javascript)，去掉任何對遠程內容的引用(尤其是樣式表和javascript)，使用HTTP only的cookie。

當然，如上操作將會降低Web業務系統的可用性，用戶僅能輸入少量的制定字符，人與系統間的交互被降到極致，僅適用于信息發布型站點。并且考慮到很少有Web編碼人員受過正規的安全培訓，很難做到完全避免頁面中的XSS漏洞。

3 綜論

XSS攻擊作為Web業務的最大威脅之一，不僅危害Web業務本身，對訪問Web業務的用戶也會帶來直接的影響，如何防范和阻止XSS攻擊，保障Web站點的業務安全，是定位于業務威脅防御的入侵防御產品的本職工作。

受攻擊事件

編輯

新浪微博XSS受攻擊事件

2011年6月28日晚，新浪微博出現了一次比較大的XSS攻擊事件。大量用戶自動發送諸如：“郭美美事件的一些未注意到的細節”，“建黨大業中穿幫的地方”，“讓女人心動的100句詩歌”，“3D肉團團高清普通話版種子”，“這是傳說中的神仙眷侶啊”，“驚爆!范冰冰艷照真流出了”等等微博和私信，并自動關注一位名為hellosamy的用戶。

事件的經過線索如下：

20:14，開始有大量帶V的認證用戶中招轉發蠕蟲

20:30，某網站中的病毒頁面無法訪問

20:32，新浪微博中hellosamy用戶無法訪問

21:02，新浪漏洞修補完畢

http://baike.baidu.com/link?url=U6aHSRPZGSNdlqqaQPs_CEHwU6PJuv71AgK2bjszQR2jSzggRNGomF4BjImBqCMIKJARajr-cLI2PdvCKXcN6a