什么是XSS攻击XSSCross-Site Scripting攻击是指攻击者在网页中插入恶意脚本当其他用户浏览该页面时恶意脚本会被执行从而盗取用户信息、会话令牌或进行其他恶意操作。方法一htmlspecialchars() - 最常用的转义方法htmlspecialchars()是PHP中最基本的XSS防护函数它将特殊字符转换为HTML实体12345?php$inputscriptalert(XSS攻击)/scriptp正常内容/p;$safe_output htmlspecialchars($input, ENT_QUOTES,UTF-8);echo$safe_output;// 输出lt;scriptgt;alert(quot;XSS攻击quot;)lt;/scriptgt;lt;pgt;正常内容lt;/pgt;参数详解ENT_QUOTES转换双引号和单引号UTF-8指定字符编码防止编码绕过攻击适用场景纯文本输出不需要保留任何HTML格式方法二strip_tags() - 彻底移除HTML标签如果你确定不需要任何HTML标签使用strip_tags()可以彻底移除它们12345?php$inputscriptalert(XSS)/scriptp正文内容/pb加粗文本/b;$safe_outputstrip_tags($input);echo$safe_output;// 输出alert(XSS)正文内容加粗文本选择性保留标签12345?php$inputscriptalert(XSS)/scriptp正文/pb加粗/bi斜体/i;$safe_outputstrip_tags($input,pb);// 只保留p和b标签echo$safe_output;// 输出p正文/pb加粗/b斜体优点简单直接性能好缺点无法过滤标签内的属性方法三filter_var() - 使用PHP过滤器扩展PHP过滤器扩展提供了更规范的过滤方式12345678?php$inputscriptalert(XSS)/scriptp正常内容/p;$safe_output filter_var($input, FILTER_SANITIZE_STRING);echo$safe_output;// 输出alert(XSS)正常内容// 专门用于过滤HTML$html_output filter_var($input, FILTER_SANITIZE_FULL_SPECIAL_CHARS);方法四HTMLPurifier - 企业级解决方案对于需要保留安全HTML内容的场景HTMLPurifier是最佳选择安装方法1composerrequireezyang/htmlpurifier使用示例1234567891011121314?phprequire_oncevendor/autoload.php;$config HTMLPurifier_Config::createDefault();// 自定义配置$config-set(HTML.Allowed,p,br,strong,em,ul,ol,li,a[href]);$config-set(AutoFormat.RemoveEmpty, true);$purifiernewHTMLPurifier($config);$inputscriptalert(XSS)/scriptp classtest安全内容/pa hrefhttp://example.com relexternal nofollow relexternal nofollow 链接/a;$safe_output$purifier-purify($input);echo$safe_output;// 输出p安全内容/pa hrefhttp://example.com relexternal nofollow relexternal nofollow 链接/a优势遵循HTML标准支持细粒度配置能过滤危险的标签属性社区活跃持续更新方法五自定义过滤函数针对特定需求可以创建自定义过滤函数12345678910111213141516171819202122232425262728293031323334?phpfunctionadvanced_xss_clean($data) {if(empty($data))return;// 递归处理数组if(is_array($data)) {returnarray_map(advanced_xss_clean,$data);}// 移除NULL字节$datastr_replace(chr(0),,$data);// 转换特殊字符$data htmlspecialchars($data, ENT_QUOTES | ENT_HTML5,UTF-8, true);// 移除危险的JavaScript模式$patterns [/javascript:/i,/vbscript:/i,/on\w\s*/i,// 移除onclick等事件属性/expression\s*\(/i// 移除CSS表达式];foreach($patternsas$pattern) {$data preg_replace($pattern,,$data);}return$data;}// 使用示例$inputimg srcjavascript:alert(1) onclickmalicious();echoadvanced_xss_clean($input);?实战根据不同场景选择防护策略场景1用户评论允许有限HTML1234567891011?phpfunctionfilter_comment($content) {$allowed_tagspbrstrongemulollia;$contentstrip_tags($content,$allowed_tags);// 进一步使用HTMLPurifier进行严格过滤require_onceHTMLPurifier.auto.php;$purifiernewHTMLPurifier();return$purifier-purify($content);}?场景2显示用户名纯文本12345?phpfunctionfilter_username($username) {returnhtmlspecialchars(trim($username), ENT_QUOTES,UTF-8);}?场景3URL参数123456789?phpfunctionfilter_url($url) {$url filter_var($url, FILTER_SANITIZE_URL);if(filter_var($url, FILTER_VALIDATE_URL)) {returnhtmlspecialchars($url, ENT_QUOTES,UTF-8);}return;}?完整的安全防护示例12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849?phpclassSecurityHelper {publicstaticfunctionxss_clean($data,$contexttext) {if(empty($data))return$data;if(is_array($data)) {returnarray_map([self::class,xss_clean],$data);}switch($context) {casehtml:// 使用HTMLPurifier处理富文本returnself::purify_html($data);caseattribute:// 用于HTML属性returnself::escape_attribute($data);casetext:default:// 纯文本转义returnhtmlspecialchars($data, ENT_QUOTES,UTF-8);}}privatestaticfunctionpurify_html($html) {require_onceHTMLPurifier.auto.php;$config HTMLPurifier_Config::createDefault();$config-set(HTML.Allowed,p,br,strong,em,ul,ol,li,a[href|title]);$purifiernewHTMLPurifier($config);return$purifier-purify($html);}privatestaticfunctionescape_attribute($data) {returnhtmlspecialchars($data, ENT_QUOTES,UTF-8, false);}}// 使用示例$user_input [usernamescriptalert(xss)/script,commentp正常评论/pscript恶意代码/script,websitejavascript:alert(1)];$cleaned_data SecurityHelper::xss_clean($user_input);print_r($cleaned_data);?防御深度建议输入验证在接收数据时进行严格验证输出转义根据输出上下文进行适当的转义内容安全策略(CSP)设置HTTP头1header(Content-Security-Policy: default-src self);HttpOnly Cookie防止Cookie被JavaScript读取框架安全特性优先使用框架提供的安全方法总结XSS防护是一个多层次的过程需要根据具体场景选择合适的过滤策略纯文本输出使用htmlspecialchars()完全移除HTML使用strip_tags()保留安全HTML使用 HTMLPurifier企业级应用结合多种方法建立完整防护体系记住永远不要信任用户输入在显示任何用户提供的数据之前都要进行适当的过滤和转义。