脚本宝典收集整理的这篇文章主要介绍了php – 这个功能是否足以进行xss检测?,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php#L100
我正在考虑窃取它并在我自己的应用程序中使用它来清理带有HTML的字符串以供显示.你觉得它做得好吗?
ps:我知道有HTML Purifier,但那个东西很大.而且我宁愿选择不那么宽容的东西,但我仍然希望它有效率.
我一直在对这个页面的字符串进行测试:http://ha.ckers.org/xss.html.但如果对“XSS locator 2”失败了.不知道怎么可以使用该字符串来破解网站:)
// Set the patterns we'll test against $patterns = array( // Match any attribute starting wITh "on" or XMlns '#(<[^>]+[\x00-\x20\"\'\/])(on|xmlns)[^>]*>?#iUu',// Match javascript:,LiveScript:,vbscript: and mocha: PRotocols '!((java|live|vb)script|mocha):(\w)*!iUu','#-moz-binding[\x00-\x20]*:#u',// Match style attributes '#(<[^>]+[\x00-\x20\"\'\/])style=[^>]*>?#iUu',// Match unneeded tags '#</*(applet|Meta|xml|blink|link|style|script|embed|object|iframe|frame|frameset|ilayer|layer|bgsound|title|base)[^>]*>?#i' );
没有其他测试.除了这些测试未检测到的攻击(假阴性)之外,它还可能错误地将某些输入报告为攻击(误报).
因此,不要试图检测XSS攻击,只需确保使用适当的消毒.
以上是脚本宝典为你收集整理的php – 这个功能是否足以进行xss检测?全部内容,希望文章能够帮你解决php – 这个功能是否足以进行xss检测?所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。