PHP防跨

PHP防跨
前国内网站存在跨站漏洞的占用大多数

很多网站你可以直接进行跨站测试，这是很危险的

如果大家想要测试自己网站是否存在跨站漏洞

我可以交给大家个办法

一般搜索框里输入

或

%22%3E%3Cscript%3Ealert(1);%3C/script%3E&.jpg

这2个是属于我是经常用的

不说这类技术问题

我们来说下怎么防

#过滤危险代码
function uh($str)
{
    $farr = array(
        "/\s+/",                                                                                            //过滤多余的空白
        "/< (\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%) ([^>]*?)>/isU",  //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入 flash等,还可以加入<object的过滤
        "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",                                      //过滤javascript的on事件
     
    );
    $tarr = array(
        " ",
        "＜\\1\\2\\3＞",            //如果要直接清除不安全的标签，这里可以留空
        "\\1\\2",
    );

  $str = preg_replace( $farr,$tarr,$str);
    return $str;
}