安全过滤javascript,html，防止跨脚本攻击

本文改自： http://blog.51yip.com/php/1031.html

用户输入的东西是不可信认的，例如，用户注册，用户评论等，这样的数据，你不光要做好防sql的注入，还要防止JS的注入,html的注入。

一，javascript注入的危害

举个简单的例子，我在一个网站留言了，并且这个网站没有对 JS 进行过滤，我在留言中加入以下内容：

    <script type="text/javascript">
    while (true) {
        alert('我弹！');
    }
    </script>  

上面的代码虽然简单，可是可以无限循环，并且会一直弹东西出来，让人感觉很不爽，直到浏览器没有响应为止。浏览您网站的人，第一反应肯定是这个网站有病毒，而离开你的网站。

针对如上的情况，这里有两种解决方案：

第一种方案：使用 htmlspecialchars 函数转换特殊字符和使用 nl2br 函数插入一些必要的 <br /> 标签。

代码清单：

得到源码为：

&lt;script type=&quot;text/javascript&quot;&gt;<br />
while (true) {<br />
    alert('我弹！');<br />
}<br />
&lt;/script&gt;

而浏览器会把 js 代码原样输出来。这种方案百度贴吧就是这么干的。

第二种方案：把评论内容中出现的所有的<script...>,</script>去掉

代码清单：

    $comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment); //把评论内容中出现的所有的<script...>,</script>去掉  

得到源码为：

 

    while (true) {
        alert('我弹！');
    }  

这样的话，因为这段代码缺少<script></script>，所以运行不起来。

二，html注入的危害

1，容易引起页面错乱，对用户输入 html 标签不做处理的话，在读取的时候，很有可能就会破坏页面的布局。

2，影响 seo，做 seo 的人都知道，pr 高的网址，如果有链接，链到你的网站的话，可以加大自己网站的权重，这也是为什么有那么多人喜欢在高 pr 网站灌水的原因了。如果你没有对 html 标签进行处理的话，我输入以下内容

<a href="http://XXX.com" style="display:none;">XXX.COM</a>  

XXX.COM是个不河蟹网站，政府肯定会河蟹的，如果你的网站有链接到这样的网址，很有可能导致网站权重降低。

危害肯定不止这二个,因此要对这些html标签进行处理

处理的方法很简单：使用 strip_tags() 函数即可。