PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南

<blockquote>防范XSS攻击的核心是管好输入与输出，重点在于输出转义。首先对用户输入进行严格验证，使用filter_var()等函数确保数据合法性；其次根据不同上下文对输出进行转义：HTML用htmlspecialchars()、URL用urlencode()、JavaScript用json_encode()、CSS应避免或严格过滤；同时设置HttpOnly Cookie防止脚本窃取会话，并通过Content-Security-Policy（CSP）响应头限制资源加载，进一步阻止恶意脚本执行，实现多层次防御。</blockquote><p><img src="https://img.php.cn/upload/article/001/503/042/175844094228915.png" alt="php动态网页xss攻击防范_php动态网页跨站脚本攻击防护指南"></p><p>XSS攻击，也就是跨站脚本攻击，在PHP动态网页里防范起来，核心思路其实就两点：管好输入，更要管好输出。简单说，就是任何来自用户的数据，在显示到页面上之前，都必须被当成潜在的恶意代码来处理，进行严格的消毒和转义。</p><h3>解决方案</h3><p>防范PHP动态网页的XSS攻击，我们需要一套多层次、系统性的策略，这绝不是一个函数就能解决的事。</p><p>首先，<strong>输入验证</strong>是第一道防线，但它不是万能的。我们必须对所有接收到的用户输入进行严格的验证，包括数据类型、长度、格式、内容范围等。比如，如果期待一个数字，那就只允许数字；如果期待一个邮箱，那就用<a style="color:#f60; text-decoration:underline;" title="正则表达式" href="https://www.php.cn/zt/15947.html" target="_blank">正则表达式</a>验证其格式。PHP的<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">filter_var()</pre>

</div>函数在这里非常好用，可以帮助我们过滤或验证各种类型的数据。但请记住，输入验证的目的是为了确保数据的合法性，而不是为了防范XSS。一个看似合法的输入，比如一段包含HTML标签的文本，如果直接输出，仍然可能导致XSS。</p><p>其次，也是最关键的一步，是<strong>输出转义</strong>。这是防范XSS的黄金法则。任何要显示到HTML页面上的用户生成内容，都必须根据其所在的上下文进行恰当的转义。</p><p><span>立即学习</span>“<a href="https://pan.quark.cn/s/7fc7563c4182" style="text-decoration: underline !important; color: blue; font-weight: bolder;" rel="nofollow" target="_blank">PHP免费学习笔记（深入）</a>”；</p><ul><li><strong>HTML上下文转义：</strong> 当用户输入要插入到HTML标签内部或属性值中时，使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars()</pre>

</div>函数将<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">&</pre>

</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">"</pre>

</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">’</pre>

</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><</pre>

</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">></pre>

</div>等特殊字符转换为HTML实体。务必使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">ENT_QUOTES</pre>

</div>参数来转义单引号和双引号，并指定字符编码，例如<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars($string, ENT_QUOTES | ENT_HTML5, ‘UTF-8’)</pre>

</div>。</li><li><strong>URL上下文转义：</strong> 当用户输入要作为URL的一部分时（例如查询参数），使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">urlencode()</pre>

</div>函数进行编码。</li><li><strong>JavaScript上下文转义：</strong> 如果用户输入需要嵌入到JavaScript代码中，情况会复杂一些。最安全的方式是避免直接将用户输入拼接到JS代码中。如果确实需要，可以考虑使用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">json_encode()</pre>

</div>将数据转换为JSON字符串，然后由<a style="color:#f60; text-decoration:underline;" title="前端" href="https://www.php.cn/zt/15813.html" target="_blank">前端</a>JS解析。或者，进行严格的JS字符转义，但这通常比<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars</pre>

</div>更复杂，且容易出错。</li><li><strong>CSS上下文转义：</strong> 避免将用户输入直接插入到CSS样式中，这极易导致XSS。如果非要如此，需要进行非常严格的CSS转义，通常建议使用白名单机制。</li></ul><p>再者，<strong>设置HTTP响应头</strong>也能提供额外的安全层。</p><ul><li><strong>Content-Security-Policy (CSP)：</strong> 这是一个强大的安全策略，通过HTTP响应头告诉浏览器哪些资源可以被加载和执行。它可以严格限制脚本的来源，防止恶意脚本的注入。</li><li><strong>HttpOnly Cookies：</strong> 将敏感的Session ID等Cookie设置为<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">HttpOnly</pre>

</div>，这样JavaScript就无法访问这些Cookie，即使发生XSS，也难以窃取用户的会话。</li></ul><p>最后，<strong>保持软件更新</strong>，包括PHP版本、框架和所有依赖库。安全漏洞往往存在于旧版本中，及时更新可以修补已知问题。</p><h3>为什么只进行输入验证还不够？</h3><p>说实话，很多人在谈到安全时，第一反应就是“验证输入”。这当然没错，输入验证是必要的，它能确保我们拿到的数据符合预期，防止一些简单的注入，比如SQL注入，也能防止一些格式错误导致的问题。但要说防XSS，光靠输入验证，那可真是远远不够的。</p><p>你想啊，XSS攻击的本质是“脚本注入”，它并不关心你输入的数据是不是“合法”的，它关心的是你的浏览器如何解析和执行这些数据。举个例子，如果你的网站允许用户评论，而评论内容里包含了<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><script>alert(‘XSS’)</script></pre>

</div>这段代码。如果你的输入验证只是简单地检查长度，或者是不是“纯文本”（比如不允许HTML标签），那这段代码可能确实会被过滤掉。</p><p>但如果你的验证稍微宽松一点，允许用户输入一些基本的HTML标签，比如<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><b></pre>

</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><i></pre>

</div>。那么，攻击者可能就会构造出像这样的内容：<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">@@##@@</pre>

</div>。这段代码在HTML语法上是完全合法的，<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">onerror</pre>

</div>是<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">@@##@@</pre>

</div>标签的一个标准属性。你的输入验证可能根本不会把它当成“恶意”的。然而，当浏览器尝试加载一个不存在的图片，并触发<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">onerror</pre>

</div>事件时，恶意脚本就被执行了。</p><p>所以，核心问题在于，输入验证是针对服务器端对数据的“理解”和“处理”来做的，而XSS是针对浏览器端对数据的“渲染”和“执行”来做的。两者不在一个维度上。一个在服务器看来“合法”的数据，在浏览器看来却可能是一个危险的指令。这就是为什么我们总是强调“输出转义”才是防范XSS的最终防线，因为它是在数据即将呈现给用户时，确保浏览器不会误解这些数据。</p><h3>PHP中常用的XSS转义函数有哪些，如何正确使用？</h3><p>在PHP里，提到XSS转义，最常用的几个函数确实是我们的老朋友了，但用对地方、用对参数，这里面还是有些门道的。</p><ol><li><p><strong><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars()</pre>

</div></strong>这是处理HTML上下文中最常用的函数，它的主要作用是将HTML中的特殊字符转换成HTML实体。</p><ul><li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">&</pre>

</div> (和号) 会变成 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">&</pre>

</div></li><li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">"</pre>

</div> (双引号) 会变成 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">"</pre>

</div></li><li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">’</pre>

</div> (单引号) 会变成 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">'</pre>

</div> (或 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">'</pre>

</div>，取决于HTML版本和参数)</li><li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><</pre>

&lt;/div&gt; (小于号) 会变成 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;<&lt;/pre&gt;

&lt;/div&gt;&lt;/li&gt;&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&gt;&lt;/pre&gt;

&lt;/div&gt; (大于号) 会变成 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;>&lt;/pre&gt;

&lt;/div&gt;&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;&lt;strong&gt;如何正确使用：&lt;/strong&gt;&lt;/p&gt; &lt;div class=&quot;aritcle_card&quot;&gt; &lt;a class=&quot;aritcle_card_img&quot; href=&quot;/ai/1159&quot;&gt; &lt;img src=&quot;https://img.php.cn/upload/ai_manual/000/000/000/175680127091510.png&quot; alt=&quot;Musho&quot;&gt; &lt;/a&gt; &lt;div class=&quot;aritcle_card_info&quot;&gt; &lt;a href=&quot;/ai/1159&quot;&gt;Musho&lt;/a&gt; &lt;p&gt;AI网页设计Figma插件&lt;/p&gt; &lt;div class=&quot;&quot;&gt; &lt;img src=&quot;/static/images/card_xiazai.png&quot; alt=&quot;Musho&quot;&gt; &lt;span&gt;71&lt;/span&gt; &lt;/div&gt; &lt;/div&gt; &lt;a href=&quot;/ai/1159&quot; class=&quot;aritcle_card_btn&quot;&gt; &lt;span&gt;查看详情&lt;/span&gt; &lt;img src=&quot;/static/images/cardxiayige-3.png&quot; alt=&quot;Musho&quot;&gt; &lt;/a&gt; &lt;/div&gt; &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=’brush:php;toolbar:false;’&gt;$userInput = &quot;&lt;script&gt;alert(‘XSS’)&lt;/script&gt;&quot;;// 推荐用法：指定ENT_QUOTES和UTF-8编码echo htmlspecialchars($userInput, ENT_QUOTES | ENT_HTML5, ‘UTF-8’);// 输出: alert(&amp;#039;XSS&amp;#039;)&lt;/pre&gt;

&lt;/div&gt;&lt;ul&gt;&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;ENT_QUOTES&lt;/pre&gt;

&lt;/div&gt;：这个参数非常重要，它会转义单引号和双引号。如果你的用户输入可能会出现在HTML属性值中（例如&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;input value=&quot;用户输入&quot;&gt;&lt;/pre&gt;

&lt;/div&gt;），那么不转义引号就可能导致属性注入。&lt;/li&gt;&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;ENT_HTML5&lt;/pre&gt;

&lt;/div&gt;：如果你确定你的页面是HTML5，可以使用这个，它会以HTML5的方式处理实体。&lt;/li&gt;&lt;li&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;UTF-8&lt;/pre&gt;

&lt;/div&gt;：明确指定字符编码，避免乱码和潜在的编码攻击。&lt;/li&gt;&lt;/ul&gt;&lt;/li&gt;&lt;li&gt;&lt;p&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlentities()&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;这个函数功能比&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlspecialchars()&lt;/pre&gt;

&lt;/div&gt;更强大，它会把所有可能存在的HTML字符都转换成对应的HTML实体。比如，&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;©&lt;/pre&gt;

&lt;/div&gt; 会变成 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&amp;copy;&lt;/pre&gt;

&lt;/div&gt;。&lt;/p&gt;&lt;p&gt;&lt;strong&gt;如何正确使用：&lt;/strong&gt;&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=’brush:php;toolbar:false;’&gt;$userInput = &quot;© 版权所有 &lt;script&gt;&quot;;echo htmlentities($userInput, ENT_QUOTES | ENT_HTML5, ‘UTF-8’);// 输出: &amp;copy; &amp;#x7248;&amp;#x6743;&amp;#x6240;&amp;#x6709; &lt;/pre&gt;

&lt;/div&gt;&lt;p&gt;虽然它转义得更彻底，但实际应用中，&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlspecialchars()&lt;/pre&gt;

&lt;/div&gt;通常就足够了，因为它只转义那些对HTML结构有影响的特殊字符，能保持原始文本的可读性。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlentities()&lt;/pre&gt;

&lt;/div&gt;可能会让页面源码变得非常冗长，除非你有特殊需求，否则不常用。&lt;/p&gt;&lt;/li&gt;&lt;li&gt;&lt;p&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;urlencode()&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;这个函数用于将字符串编码成URL安全的格式，主要用在URL的查询参数或路径片段中。它会将非字母数字字符转换成百分号编码（&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;%xx&lt;/pre&gt;

&lt;/div&gt;）。&lt;/p&gt;&lt;p&gt;&lt;strong&gt;如何正确使用：&lt;/strong&gt;&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=’brush:php;toolbar:false;’&gt;$paramValue = &quot;Hello World! &amp; &lt; &gt;&quot;;$url = &quot;/search?q=&quot; . urlencode($paramValue);echo $url;// 输出: /search?q=Hello+World%21+%26+%3C+%3E&lt;/pre&gt;

&lt;/div&gt;&lt;p&gt;如果你要将用户输入作为URL的一部分，比如重定向到一个包含用户名的页面，那就必须使用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;urlencode()&lt;/pre&gt;

&lt;/div&gt;。&lt;/p&gt;&lt;/li&gt;&lt;li&gt;&lt;p&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode()&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;虽然它不是直接的“XSS转义”函数，但在将PHP数据传递给JavaScript时，&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode()&lt;/pre&gt;

&lt;/div&gt;是防止XSS的利器。它会将PHP数组或对象转换为JSON格式的字符串，并自动处理其中的特殊字符（如引号、斜杠等），使其在JavaScript中安全地被解析。&lt;/p&gt;&lt;p&gt;&lt;strong&gt;如何正确使用：&lt;/strong&gt;&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=’brush:php;toolbar:false;’&gt;$data = [ ‘name’ =&gt; ‘John Doe’, ‘message’ =&gt; ‘&lt;script&gt;alert(&quot;XSS&quot;)&lt;/script&gt;’];echo ‘&lt;script&gt;’;echo ‘var userData = ‘ . json_encode($data) . ‘;’;echo ‘console.log(userData.message);’;echo ‘&lt;/script&gt;’;// 输出的JS代码中，message会是：’&lt;script&gt;alert(\&quot;XSS\&quot;)&lt;\/script&gt;’，作为字符串安全地存在&lt;/pre&gt;

&lt;/div&gt;&lt;p&gt;通过&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode()&lt;/pre&gt;

&lt;/div&gt;，恶意脚本会被当成普通字符串处理，而不是被JavaScript引擎执行。这是将PHP变量安全地传递给前端JavaScript的最佳实践。&lt;/p&gt;&lt;/li&gt;&lt;/ol&gt;&lt;p&gt;总结一下，选择哪个函数，完全取决于你的用户输入将要出现在哪个上下文。在HTML标签或属性里用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;htmlspecialchars&lt;/pre&gt;

&lt;/div&gt;，在URL里用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;urlencode&lt;/pre&gt;

&lt;/div&gt;，在JavaScript里用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;json_encode&lt;/pre&gt;

&lt;/div&gt;。搞清楚上下文，是正确防范XSS的关键。&lt;/p&gt;&lt;h3&gt;如何利用Content-Security-Policy (CSP) 进一步强化XSS防御？&lt;/h3&gt;&lt;p&gt;说实话，即便我们把输入验证和输出转义做得再好，也总有那么一丝不确定性，或者说，总有百密一疏的可能。这时候，Content-Security-Policy (CSP) 就显得特别重要了，它就像是给浏览器安了一个智能安检门，能从源头上限制哪些内容可以被加载和执行，从而为XSS防御提供一个强大的额外安全层。&lt;/p&gt;&lt;p&gt;CSP的原理是通过HTTP响应头来告诉浏览器，哪些资源（比如脚本、样式、图片、字体等）可以从哪些“源”加载。如果浏览器尝试加载一个不被允许的资源，它就会被阻止。这极大地限制了攻击者即使成功注入了恶意脚本，也无法执行或加载外部资源的可能。&lt;/p&gt;&lt;p&gt;&lt;strong&gt;如何在PHP中配置CSP：&lt;/strong&gt;&lt;/p&gt;&lt;p&gt;CSP是通过HTTP响应头来设置的，所以在PHP中，我们通常使用&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;header()&lt;/pre&gt;

&lt;/div&gt;函数来发送它。&lt;/p&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=’brush:php;toolbar:false;’&gt;&lt;?php// 这是一个基本的CSP策略示例// 允许所有资源（除了object-src）从当前源加载// script-src 明确允许从当前源和 trusted.cdn.com 加载脚本// object-src ‘none’ 阻止 Flash 等插件的加载$csp_policy = &quot;Content-Security-Policy: &quot; . &quot;default-src ‘self’; &quot; . &quot;script-src ‘self’ https://trusted.cdn.com; &quot; . &quot;style-src ‘self’ ‘unsafe-inline’; &quot; . // ‘unsafe-inline’ 是为了兼容内联样式，但最好避免 &quot;img-src ‘self’ data:; &quot; . &quot;font-src ‘self’; &quot; . &quot;connect-src ‘self’; &quot; . &quot;object-src ‘none’; &quot; . &quot;frame-ancestors ‘self’; &quot; . // 防止点击劫持 &quot;base-uri ‘self’; &quot; . // 限制 &lt;base&gt; 标签的 URL &quot;form-action ‘self’;&quot;; // 限制 &lt;form&gt; 提交的目标header($csp_policy);// … 你的PHP页面内容?&gt;&lt;/pre&gt;

&lt;/div&gt;&lt;p&gt;&lt;strong&gt;CSP指令解析：&lt;/strong&gt;&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;default-src ‘self’&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 这是最常用的指令，它定义了所有未明确指定类型的资源的默认加载策略。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;’self’&lt;/pre&gt;

&lt;/div&gt;表示只允许从当前域（包括协议和端口）加载资源。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;script-src&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 定义JavaScript脚本的加载源。你可以指定多个源，比如&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;’self’&lt;/pre&gt;

&lt;/div&gt;（当前域）、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;https://cdn.example.com&lt;/pre&gt;

&lt;/div&gt;（某个CDN）、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;’unsafe-inline’&lt;/pre&gt;

&lt;/div&gt;（允许内联脚本，但&lt;strong&gt;强烈不推荐&lt;/strong&gt;用于生产环境，因为它会削弱XSS防御）、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;’unsafe-eval’&lt;/pre&gt;

&lt;/div&gt;（允许&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;eval()&lt;/pre&gt;

&lt;/div&gt;等函数，同样&lt;strong&gt;强烈不推荐&lt;/strong&gt;）。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;style-src&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 定义CSS样式的加载源。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;img-src&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 定义图片资源的加载源。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;data:&lt;/pre&gt;

&lt;/div&gt; 允许加载Base64编码的图片。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;object-src ‘none’&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 这是一个非常好的实践，它会阻止浏览器加载像Flash、Java Applets这样的插件。这些插件往往是攻击的潜在目标。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;connect-src&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 定义&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;XMLHttpRequest&lt;/pre&gt;

&lt;/div&gt;、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;WebSocket&lt;/pre&gt;

&lt;/div&gt;等连接的源。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;frame-ancestors ‘self’&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 限制哪些源可以嵌入你的页面作为&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;iframe&gt;&lt;/pre&gt;

&lt;/div&gt;、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;frame&gt;&lt;/pre&gt;

&lt;/div&gt;、&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;object&gt;&lt;/pre&gt;

&lt;/div&gt;等，有助于防范点击劫持（Clickjacking）。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;base-uri ‘self’&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 限制&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;base&lt;/pre&gt;

&lt;/div&gt;标签可以指定的URL。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;form-action ‘self’&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;: 限制&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;form&lt;/pre&gt;

&lt;/div&gt;表单可以提交到的URL。&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;&lt;strong&gt;强化防御的进阶技巧：&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;nonce&lt;/pre&gt;

&lt;/div&gt; 和 &lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;hash&lt;/pre&gt;

&lt;/div&gt;&lt;/strong&gt;&lt;/p&gt;&lt;p&gt;为了避免使用不安全的&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;’unsafe-inline’&lt;/pre&gt;

&lt;/div&gt;，CSP提供了更精细的控制方式：&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;nonce&lt;/pre&gt;

&lt;/div&gt; (一次性随机数)&lt;/strong&gt;：在&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;script-src&lt;/pre&gt;

&lt;/div&gt;或&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;style-src&lt;/pre&gt;

&lt;/div&gt;中，你可以生成一个随机的nonce值，并将其添加到CSP头和对应的&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;script&gt;&lt;/pre&gt;

&lt;/div&gt;或&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;&lt;style&gt;&lt;/pre&gt;

&lt;/div&gt;标签中。只有带有正确nonce的内联脚本/样式才会被执行。&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=’brush:php;toolbar:false;’&gt;$nonce = base64_encode(random_bytes(16)); // 生成一个随机nonceheader(&quot;Content-Security-Policy: script-src ‘nonce-{$nonce}’ ‘self’;&quot;);// 在HTML中：// &lt;script nonce=&quot;&lt;?php echo $nonce; ?&gt;&quot;&gt;alert(‘Hello CSP’);&lt;/script&gt;&lt;/pre&gt;

&lt;/div&gt;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;hash&lt;/pre&gt;

&lt;/div&gt; (哈希值)&lt;/strong&gt;：你也可以计算内联脚本或样式的SHA256、SHA384或SHA512哈希值，并将其添加到CSP头中。浏览器会检查脚本的哈希值是否匹配。&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;&lt;strong&gt;部署CSP的挑战：&lt;/strong&gt;&lt;/p&gt;&lt;p&gt;CSP虽然强大，但部署起来确实有点烧脑。&lt;/p&gt;&lt;ol&gt;&lt;li&gt;&lt;strong&gt;兼容性问题：&lt;/strong&gt; 如果你的网站使用了大量的第三方JS库或内联脚本，配置一个严格的CSP可能会导致功能失效。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;迭代过程：&lt;/strong&gt; 通常需要先以报告模式（&lt;div class=&quot;code&quot; style=&quot;position:relative; padding:0px; margin:0px;&quot;&gt;&lt;pre class=&quot;brush:php;toolbar:false;&quot;&gt;Content-Security-Policy-Report-Only&lt;/pre&gt;

&lt;/div&gt;）部署CSP，观察违规报告，逐步调整策略，直到所有合法资源都能正常加载。&lt;/li&gt;&lt;li&gt;&lt;strong&gt;维护成本：&lt;/strong&gt; 每次添加新的脚本或样式源，都需要更新CSP策略。&lt;/li&gt;&lt;/ol&gt;&lt;p&gt;尽管有这些挑战，CSP仍然是现代Web应用不可或缺的安全措施。它将XSS的防线从“代码层面”延伸到了“浏览器层面”，即使攻击者突破了你的代码防线，CSP也能在浏览器端阻止恶意脚本的执行，大大降低了XSS攻击的风险。&lt;/p&gt;&lt;img src=&quot;invalid&quot; onerror=&quot;alert(‘XSS’)&quot; alt=&quot;PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南&quot; &gt;&lt;img alt=&quot;PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南&quot; &gt;

以上就是PHP动态网页XSS攻击防范_PHP动态网页跨站脚本攻击防护指南的详细内容，更多请关注php中文网其它相关文章！