??? ??? ????? XSS(?? ??? ???? ??)? ?? ? ???????? ?? ???? ?? ?? ? ??? ?????. ???? XSS ???? ??? ???? ??? ??? ???, ??? ???? ????, ??? ???? ????? ??? ?? ????. ? ??????? ??? ???? ?? ???? XSS ??? ???? ?? ??? ??? ???. ? ????? XSS ??? ???? ???? ??? thinkphp ?? ??? ??? ??? ?????.

thinkphp? ???? ???? ??? ? ??????? ??? ??? ?? ????? ?? PHP ?? ????????. thinkphp? XSS ??? ???? ??? ??? ????? ???? ?? ? ?? ????? ?? ??? ? ????. ????? thinkphp ?? ??? ??? ??? ???? ??? ??? ?????.

1. HTMLPurifier? ???? ?? ??? ???

? ??????? ??? ? ???? ???? ???? ??? ? ???? ???? ???? ???? ????? ???. HTMLPurifier? HTML ? XML ???? ???? ?? ??? ??? ????? ?? ??? ??? ????? ???? ? ???? ?? ?? PHP ????????. HTMLPurifier? ???? ???? ??? ???? ????? ?? ????? ???? ???? ?? ??? ? ????.

?? ??? ??? ????.

require_once?'htmlpurifier/library/HTMLPurifier.auto.php';
$config?=?HTMLPurifier_Config::createDefault();
$purifier?=?new?HTMLPurifier($config);
$dirty_html?=?$_POST['user_input'];
$clean_html?=?$purifier->purify($dirty_html);

? ?? ????? ?? HTMLPurifier ?????? ???? HTMLPurifier ????? ?????. ?? ?? $_POST ???? ???? ??? ???? ???? purify() ???? ???? ???? ??????. ???? ???? ??? HTML ?????. ????? ???? ???? ??????? ????? ???? ??? ? ????.

2. htmlspecialchars ??? ???? HTML ?? ??? ????????

HTMLPurifier? ???? HTML ??? ????? ? ??? PHP? ??? htmlspecialchars() ??? ???? HTML ?? ??? ??????? ??? ??? ???? ??? ??? ?? ????. ? ??? , <, ", ', &)? HTML ???? ??? ? ????.

??? ?? ?????.

$dirty_string?=?$_POST['user_input'];
$clean_string?=?htmlspecialchars($dirty_string,?ENT_QUOTES,?'UTF-8');

? ?? ???? , ??? ?? $_POST ???? ???? ??? ???? ?? htmlspecialchars() ??? ???? ???? ??? ???? HTML ??? ???? ?? ??? ???? ??? ???? ????????. ???, ? ?? ????? ??? ?? ??? ???? ? ?? ????? ????? ??? ?????. ???? ?????? ???? ?????? ?? ? ??? ??? ??? ? ????.

HTTPOnly ??? JavaScript ????? ?? ?? ??? ???? ?? ?????. HTTPOnly ???? ?? ??? ??? ??? ??? ? ???, JavaScript? ??? ??? ? ????.

3. ??? ?? ?????.

ini_set('session.cookie_httponly',?true);

? ?? ????? ini_set() ??? ???? session.cookie_httponly ??? ?? ??????. HTTPOnly ??? ?????? ? ???? ???? ? ??????? ???? ??? ??? HTTP ??? set-cookie ???? ???? HTTPOnly ???? 1. ?? ??

???? ?????. XSS ??? ???? ?? CSP(??? ?? ??)

CSP(??? ?? ??)? ????? ??? ? ?? HTTP ?? ?? ??? ?????. ???? ????? ??? ???? ??? ? ?? ???? ???? ???? ?? ?????. thinkphp??? ?? ??? ???? CSP? ??? ? ????.

header("Content-Security-Policy:?script-src?'self'?'unsafe-inline'");

4. ? ?? ????? header( ) ??? ???? Content- ?? ?? ?? ?? ?? script-src ??? JavaScript ???? ??? ???? ???? ????, 'self'? ??? ??? ???? ??? ???? ????, 'unsafe-inline' ??? ???? ????? ???? ?????. ??? JavaScript ??? ???? ?? ?? ????? ??? ?????. ??? ???? ? ??????? XSS ??? ?????? ????? ??? ? ????.

??

? ????? ? ?? ???? thinkphp ?? ???? ?????. - HTMLPurifier? ???? ??? ??? ????? ?? ??? ?? ??, htmlspecialchars ??? ???? HTML ?? ??? ????? ???? HTTPOnly ??? ????? ??? ?? ?? ?? ?? ??? ?????. ??? ??? ? ??????? ??? ?? ????? ???? ??? ??? ???? ??? ????? ???? ? ??? ? ? ????.

? ??? thinkphp ?? ??? ??? ??? ???? ??? ?? ??? ??? ?? ?????. ??? ??? PHP ??? ????? ?? ?? ??? ?????!