日本語
日本語
クロスサイトスクリプト(XSS)は、Web開発における一般的なセキュリティの脅威です。 XSSは、悪意のあるスクリプトコードをWebページに注入することにより、ユーザーのブラウザを制御し、それにより機密情報を盗みます。この攻撃を防ぐために、PHP開発者は効果的なセキュリティ対策を講じる必要があり、同時にデバッグとトラブルシューティングの問題のための適切なエラー報告情報を生成する必要があります。この記事では、XSS攻撃を防ぎ、対応するエラーレポートを生成する方法について詳しく説明します。
PHPはHTMLSPECIALCHARS()関数を提供します。これは、HTMLの特殊文字を逃れることができ、悪意のあるコードの実行を回避できます。コンテンツを出力する前にこの関数を使用することにより、XSS攻撃のリスクを大幅に減らすことができます。これがサンプルコードです:
$ name = $ _get ['name']; echo htmlspecialchars($ name);
この例では、プログラムは$ _GET HyperGlobal変数からパラメーター「名前」を取得し、HTMLSPECIALCHARS()関数を使用してエスケープして、悪意のあるHTMLまたはJavaScriptコードが出力されないようにします。
コンテンツセキュリティポリシー(CSP)は、効果的なセキュリティポリシーです。 CSPヘッダーを設定することにより、ロードできるリソースのソースを指定して、XSS攻撃を防ぐことができます。 HTTPヘッダーでCSPポリシーを構成することにより、開発者はWebページリソースの読み込みを制御して、外部の悪意のあるスクリプトインジェクションを防ぐことができます。例は次のとおりです。
ヘッダー( "Content-Security-Policy:default-src 'self'");
この例では、CSPポリシーは、現在のドメイン名からのみリソースをロードすることを制限しており、これにより、外部の悪意のあるコードの注入が効果的に防止されます。
X-Content-Type-Optionsは、MIMEタイプのスニッフィングを介してブラウザがWebコンテンツを解析するのを防ぐHTTPヘッダーオプションです。 X-Content-Type-OptionsをNosniffに設定することにより、サーバーによって指定されたコンテンツタイプに従ってブラウザが常にコンテンツを解析し、XSS攻撃のリスクを減らすことができます。例は次のとおりです。
ヘッダー( "X-Content-Type-Options:nosniff");
この設定は、サーバーの応答のコンテンツタイプに従って厳密にコンテンツを解析するようブラウザに指示するため、不適切なスクリプトの実行を回避します。
XSS攻撃をより効果的にデバッグしてトラブルシューティングするために、コード内のターゲットエラーレポート情報を生成できます。 XSS攻撃が検出された場合、関連情報を記録し、明確なエラー報告情報を生成する必要があります。これが例です:
$ name = $ _get ['name'];
if(preg_match( "/ <script>/i", $name)) {
// 攻撃関連の情報を記録します
error_log("XSS攻撃:" . $name);
// エラーメッセージを生成します
echo "发生了跨站脚本攻撃,悪意のあるコードを入力しないでください!";
exit;
}
在这个示例中,preg_match()函数检查参数$name是否包含