PHP的防禦XSS注入的終極解決方案【信息安全】【Hack】

1. PHP直接輸出html的，可以採用以下的方法進行過濾：

   1.htmlspecialchars函數
   2.htmlentities函數
   3.HTMLPurifier.auto.php插件
   4.RemoveXss函數（百度可以查到）

2. PHP輸出到JS代碼中，或者開發Json API的，則需要前端在JS中進行過濾：

   1.儘量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()來輸出文本內容
   2.必須要用innerHTML等等函數，則需要做類似php的htmlspecialchars的過濾（參照@eechen的答案）

3. 其它的通用的補充性防禦手段

   1.在輸出html時，加上Content Security Policy的Http Header
   （作用：可以防止頁面被XSS攻擊時，嵌入第三方的腳本文件等）
   （缺陷：IE或低版本的瀏覽器可能不支持）
   2.在設置Cookie時，加上HttpOnly參數
   （作用：可以防止頁面被XSS攻擊時，Cookie信息被盜取，可兼容至IE6）
   （缺陷：網站本身的JS代碼也無法操作Cookie，而且作用有限，只能保證Cookie的安全）
   3.在開發API時，檢驗請求的Referer參數
   （作用：可以在一定程度上防止CSRF攻擊）
   （缺陷：IE或低版本的瀏覽器中，Referer參數可以被僞造）