Laravel 5 中防止 XSS 跨站攻击的例子

本文实例讲述了Laravel5中防止XSS跨站攻击的方法。小编分享给大家供大家参考，具体如下：

Laravel 5本身没有这个能力来防止xss跨站攻击了，但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。

1、安装

HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器，通常我们可以使用它来防止 XSS 跨站攻击，更多关于 HTMLPurifier的详情请参考其官网：http://htmlpurifier.org/。Purifier 是在 Laravel 5 中集成 HTMLPurifier 的扩展包，我们可以通过 Composer 来安装这个扩展包：

composer require mews/purifier

安装完成后，在配置文件config/app.php的providers中注册HTMLPurifier服务提供者：

1. 'providers' => [ 
2.  // ... 
3.  MewsPurifierPurifierServiceProvider::class, 
4. ] 

然后在aliases中注册Purifier门面：

1. 'aliases' => [ 
2.  // ... 
3.  'Purifier' => MewsPurifierFacadesPurifier::class, 
4. ] 

2、配置

要使用自定义的配置，发布配置文件到config目录：

php artisan vendor:publish

这样会在config目录下生成一个purifier.php文件：

1. return [ 
2.  'encoding' => 'UTF-8', 
3.  'finalize' => true, 
4.  'preload' => false, 
5.  'cachePath' => null, 
6.  'settings' => [ 
7.   'default' => [ 
8.    'HTML.Doctype'    => 'XHTML 1.0 Strict', 
9.    'HTML.Allowed'    => 'div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]', 
10.    'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align', 
11.    'AutoFormat.AutoParagraph' => true, 
12.    'AutoFormat.RemoveEmpty' => true 
13.   ], 
14.   'test' => [ 
15.    'Attr.EnableID' => true 
16.   ], 
17.   "youtube" => [ 
18.    "HTML.SafeIframe" => 'true', 
19.    "URI.SafeIframeRegexp" => "%^(http://|https://|//)(www.youtube.com/embed/|player.vimeo.com/video/)%", 
20.   ], 
21.  ], 
22. ]; 

3、使用示例

可以使用辅助函数clean：

clean(Input::get('inputname'));

或者使用Purifier门面提供的clean方法：

Purifier::clean(Input::get('inputname'));

还可以在应用中进行动态配置：

clean('This is my H1 title', 'titles');

clean('This is my H1 title', array('Attr.EnableID' => true));

或者你也可以使用Purifier门面提供的方法：

Purifier::clean('This is my H1 title', 'titles');

Purifier::clean('This is my H1 title', array('Attr.EnableID' => true));

php防止xss攻击

1. <?PHP 
2. function clean_xss(&$string, $low = False) 
3. { 
4.  if (! is_array ( $string )) 
5.  { 
6.  $string = trim ( $string ); 
7.  $string = strip_tags ( $string ); 
8.  $string = htmlspecialchars ( $string ); 
9.  if ($low) 
10.  { 
11.  return True; 
12.  } 
13.  $string = str_replace ( array ('"', "//", "'", "/", "..", "../", "./", "//" ), '', $string ); 
14.  $no = '/%0[0-8bcef]/'; 
15.  $string = preg_replace ( $no, '', $string ); 
16.  $no = '/%1[0-9a-f]/'; 
17.  $string = preg_replace ( $no, '', $string ); 
18.  $no = '/[/x00-/x08/x0B/x0C/x0E-/x1F/x7F]+/S'; 
19.  $string = preg_replace ( $no, '', $string ); 
20.  return True; 
21.  } 
22.  $keys = array_keys ( $string ); 
23.  foreach ( $keys as $key ) 
24.  { //Vevb.com 
25.  clean_xss ( $string [$key] ); 
26.  } 
27. } 
28. //just a test 
29. $str = 'Vevb.com<meta http-equiv="refresh" content="0;">'; 
30. clean_xss($str); //如果你把这个注释掉，你就知道xss攻击的厉害了 
31. echo $str; 
32. ?>