PHP 防xss攻擊

1. PHP直接輸出html的，能夠採用如下的方法進行過濾：

   1.htmlspecialchars函數
   2.htmlentities函數
   3.HTMLPurifier.auto.php插件
   4.RemoveXss函數（百度能夠查到）

2. PHP輸出到JS代碼中，或者開發Json API的，則須要前端在JS中進行過濾：

   1.儘可能使用innerText(IE)和textContent(Firefox),也就是jQuery的text()來輸出文本內容
   2.必需要用innerHTML等等函數，則須要作相似php的htmlspecialchars的過濾（參照@eechen的答案）

3. 其它的通用的補充性防護手段

   1.在輸出html時，加上Content Security Policy的Http Header
   （做用：能夠防止頁面被XSS攻擊時，嵌入第三方的腳本文件等）
   （缺陷：IE或低版本的瀏覽器可能不支持）
   2.在設置Cookie時，加上HttpOnly參數
   （做用：能夠防止頁面被XSS攻擊時，Cookie信息被盜取，可兼容至IE6）
   （缺陷：網站自己的JS代碼也沒法操做Cookie，並且做用有限，只能保證Cookie的安全）
   3.在開發API時，檢驗請求的Referer參數
   （做用：能夠在必定程度上防止CSRF攻擊）
   （缺陷：IE或低版本的瀏覽器中，Referer參數能夠被僞造）