xss 攻击怎么防止

XSS 又称 CSS，全称 Cross SiteScript(跨站脚本攻击)， XSS 攻击类似于 SQL 注入攻击， 是 Web 程序中常见的漏洞，XSS 属于被动式且用于客户端的攻击方式，所以容易被忽略 其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码，当用 户浏览该网站时，这段 HTML 代码会自动执行，从而达到攻击的目的。如，盗取用户 Cookie 信息、破坏页面结 常见的恶意字符 XSS 输入： 1. XSS 输 入 通 常 包 含 JavaScript 脚 本 ， 如 弹 出 恶 意 警 告 框 ： 2. XSS 输入也可能是 HTML 代码段，譬如： (1) 网页不停地刷新 (2) 嵌入其它网站的链接  构、重定向到其它网站等。 方法：利用 php htmlentities()函数 php 防止 XSS 跨站脚本攻击的方法：是针对非法的 HTML 代码包括单双引号等，使用 htmlspecialchars()函数。 在 使 用 htmlspecialchars() 函 数 的 时 候 注 意 第 二 个 参 数 , 直 接 用 htmlspecialchars($string)的话，第二个参数默认是 ENT_COMPAT，函数默认只是转化 双引号(")，不对单引号(')做转义。 所 以 ， htmlspecialchars()函 数 更多的 时候要 加 上第 二个 参 数，应该 这样用 : htmlspecialchars($string,ENT_QUOTES)。当然，如果需要不转化如何的引号，用 htmlspecialchars($string,ENT_NOQUOTES)。 另 外 ， 尽 量 少 用 htmlentities(), 在 全 部 英 文 的 时 候 htmlentities() 和 htmlspecialchars()没有区别，都可以达到目的。但是，中文情况下, htmlentities() 却会转化所有的 html 代码，连同里面的它无法识别的中文字符也给转化了。 htmlentities()和 htmlspecialchars()这两个函数对单引号(')之类的字符串支持不 好，都不能转化， 所以用 htmlentities()和 htmlspecialchars()转化的字符串只能防 止 XSS 攻击，不能防止 SQL 注入攻击。 所有有打印的语句如 echo，print 等，在打印前都要使用 htmlentities()进行过滤，这 样可以防止 XSS，注意中文要写出 htmlentities($name,ENT_NOQUOTES,GB2312)。