XSS (Cross-Site Scripting) ?????? ThinkPHP ?? ????? ??? ?? ? ? ?????

XSS (Cross-Site Scripting) ?????? ThinkPHP ??????? ????? ?? ??? ??, ?? ??? ? ?? ??? ?? ? ?? ?? ??? ???????. ????? ???? ??? ?? ??? ??????.

1. ?? ??? ?? : ?? ?? ?? ??? ??? ????????. ThinkPhp? ?? ??? ???? ?? ???? ??????. ?? ??, filter_input ???? Get, Post, Cookie ? ?? ?? ??? ???? ?? ? ? ????.

    <code class="php">$input = filter_input(INPUT_POST, 'user_input', FILTER_SANITIZE_STRING);</code>

2. ?? ??? : ?? ????? ???? ?? ???? ?? ?? ?? ???? ??????. PHP? ?? htmlspecialchars ??? ???? ?? ??? HTML ???? ??????.

    <code class="php">echo htmlspecialchars($output, ENT_QUOTES, 'UTF-8');</code>

3. ?? ?? ?? : CSP ( Content-Security-Policy )? ?? ?? ??? ???? ? ??? ??? ??? ??? ??? ??? ??????.

    <code class="php">header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline';");</code>

4. ??? ? ???? : ??? ??????? ???? ?? ThinkPHP ??? ?? ? ?? ???? ?? ??? ??????.
5. HTTPS ?? : XSS ????? ?? ??? ??? ?? ??? ???? ?? HTTPS? ???? ?? ???? ???? ????? ??????.

? ??? ???? ThinkPHP ?? ?????? XSS ??? ??? ?? ?? ? ????.

XSS ???? ???? ?? ThinkPhp? ?? ??? ??? ?? ?? ??? ??????

ThinkPHP?? XSS ???? ???? ? ?? ??? ??? ?????. ??? ??? ?? ?? ?????.

1. ?? ?? ?? : ThinkPhp? PHP? ?? ?? ??? ???? ??? ???? ???? ? ???????. ?? ??, FILTER_SANITIZE_STRING ???? ????? ?? ??? ??????.

    <code class="php">$sanitizedInput = filter_var($input, FILTER_SANITIZE_STRING);</code>

2. ??? ?? ??? ?? ?? ?? : ?? ?? ????? ??? ?? ??? ?? ??? ???? ?? ??? ?? ??? ?????. ??? ThinkPhp? ?? ????? ???? ?? ? ? ????.

    <code class="php">use think\Validate; $validate = new Validate([ 'username' => 'require|max:25', 'password' => 'require|min:6', ]); if (!$validate->check($data)) { // Validation failed }</code>

3. ?? ?? ?? ??? ?? : ?? ???? ????? ?? ???? ?? Get, Post, Cookie ? Headers? ??? ?? ??? ??? ??????.
4. ?????? ??? ?? : ??? ?? ??? ? ??? ???? ???? ?? ??? ??? ??? ???? ?? ??? ??? ?? ?? ?? ??????.

5. ?? ??? ?? : ???? ???? ?? ??? ??? ????? ??? ??? ??????.

    <code class="php">if (!preg_match('/^[a-zA-Z0-9] $/', $input)) { // Invalid input }</code>

??? ?? ??? ???? ??? ????? ???? XSS ??????? ?? ????? ?? ? ? ????.

XSS ?????? ???? ?? ThinkPhp?? ?? ???? ????? ?????????

XSS ?????? ThinkPhP ?? ????? ????? ?? ???? ??????. ?? ??? ??? ????.

1. htmlspecialchars ?? ?? :? PHP ??? ?? ??? HTML ???? ???? ??? ???? ????. ?? ?? ????? ??????.

    <code class="php">echo htmlspecialchars($data, ENT_QUOTES, 'UTF-8');</code>

2. ???? ?? ??? : ThinkPhp? ??? ??? ???? ?? ?? ?????? ????? ??? ??????. ???? ?? ?? ??? ?? ???? ??? ????? ??? ????.

3. ??? ?? : HTML ??? ??? ???? ?? ? ?? ?? ??? ???? ?? ENT_QUOTES ???? ?? htmlspecialchars ??????.

    <code class="php">echo '<input type="text" value="' . htmlspecialchars($data, ENT_QUOTES, 'UTF-8') . '">';</code>

4. JavaScript ??? ??? : ???? JavaScript? ??? ? JSON_HEX_TAG ??? ?? json_encode ???? HTML ?? ??? ???????????.

    <code class="php">$jsonData = json_encode($data, JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT | JSON_HEX_AMP); echo '<script>var data = &#39; . $jsonData . &#39;;</script>';</code>

5. CSRF ?? ?? : ?? ???? ?? ??? ??? CSRF ?? ??? ?? ????? ???? XSS ?? ??? ?????.

??? ?? ??? ??? ????? ???? ThinkPHP ?? ?????? XSS ??? ????? ?? ? ? ????.

XSS ??? ???? ???? ???? ?? ThinkPhp?? ?? ?? ? ????? ??? ? ?????

? ?? ??? ????? ???? ThinkPHP ?? ?????? XSS ??? ???? ???? ?? ? ? ????. ?? ??? ??? ????.

1. OWASP ZAP (ZED Attack Proxy) : XSS ???? ???? ?? ? ??? ???? ?? ?? ? ?????? ?? ??????. ThinkPhp ?? ????? ????? ???? ?? ?? ?? ??? ?? ? ? ????.
2. PHP ?? ?? :? ??? XSS? ??? ???? ?? ???? ?? PHP ??? ?????. ThinkPhp?? ????? ??? ?? ????? ?? ???? ??? ??? ?? ? ? ????.
3. ACUNETIX : PHP? ???? XSS ??? ?? ? ??? ?? ? ??? ???. ??? ?? ??? ??? ? ?? ??? ?????.
4. ThinkPhp Security Plugin : XSS ??? ??? ?? ?? ??? ???? ThinkPhp? ??? ??? ?? ????? ????. ?? ??, think-security ? ?? ????? ???? ?? ?? ? ??????? ??? ?? ? ? ????.
5. Modsecurity : XSS ?????? ????? ?? ? ??? Open-Source Web Application ??? (WAF). ?? ? ????? ???? ?? ?? ? ??? ??? ? ? ????.
6. BURP SUITE : ?? ?????? ? ?? ??? ?? ? BURP Suite? ThinkPHP ?? ?????? XSS ???? ???? ????? ???? ? ??????.

??? ??? ????? ?? ? ?? ????? ???? XSS ??? ???? ???? ???? ThinkPHP ?? ????? ??? ???? ? ????.

? ??? XSS (Cross-Site Scripting) ?????? ThinkPHP ?? ????? ??? ?? ? ? ?????? ?? ?????. ??? ??? PHP ??? ????? ?? ?? ??? ?????!