本文實例講述了Laravel5中防止XSS跨站攻擊的方法。小編分享給大家供大家參考，具體如下：

Laravel 5本身沒有這個能力來防止xss跨站攻擊了，但是這它可以使用Purifier 擴展包集成 HTMLPurifier 防止 XSS 跨站攻擊。

1、安裝

HTMLPurifier 是基于 PHP 編寫的富文本 HTML 過濾器，通常我們可以使用它來防止 XSS 跨站攻擊，更多關于 HTMLPurifier的詳情請參考其官網：http://htmlpurifier.org/。Purifier 是在 Laravel 5 中集成 HTMLPurifier 的擴展包，我們可以通過 Composer 來安裝這個擴展包：

composer require mews/purifier

安裝完成后，在配置文件config/app.php的providers中注冊HTMLPurifier服務提供者：

1. 'providers' => [ 
2.  // ... 
3.  MewsPurifierPurifierServiceProvider::class, 
4. ] 

然后在aliases中注冊Purifier門面：

1. 'aliases' => [ 
2.  // ... 
3.  'Purifier' => MewsPurifierFacadesPurifier::class, 
4. ] 

2、配置

要使用自定義的配置，發布配置文件到config目錄：

php artisan vendor:publish

這樣會在config目錄下生成一個purifier.php文件：

1. return [ 
2.  'encoding' => 'UTF-8', 
3.  'finalize' => true, 
4.  'preload' => false, 
5.  'cachePath' => null, 
6.  'settings' => [ 
7.   'default' => [ 
8.    'HTML.Doctype'    => 'XHTML 1.0 Strict', 
9.    'HTML.Allowed'    => 'div,b,strong,i,em,a[href|title],ul,ol,li,p[style],br,span[style],img[width|height|alt|src]', 
10.    'CSS.AllowedProperties' => 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align', 
11.    'AutoFormat.AutoParagraph' => true, 
12.    'AutoFormat.RemoveEmpty' => true 
13.   ], 
14.   'test' => [ 
15.    'Attr.EnableID' => true 
16.   ], 
17.   "youtube" => [ 
18.    "HTML.SafeIframe" => 'true', 
19.    "URI.SafeIframeRegexp" => "%^(http://|https://|//)(www.youtube.com/embed/|player.vimeo.com/video/)%", 
20.   ], 
21.  ], 
22. ]; 

3、使用示例

可以使用輔助函數clean：

clean(Input::get('inputname'));

或者使用Purifier門面提供的clean方法：

Purifier::clean(Input::get('inputname'));

還可以在應用中進行動態配置：

clean('This is my H1 title', 'titles');

clean('This is my H1 title', array('Attr.EnableID' => true));

或者你也可以使用Purifier門面提供的方法：

Purifier::clean('This is my H1 title', 'titles');

Purifier::clean('This is my H1 title', array('Attr.EnableID' => true));

php防止xss攻擊

1. <?PHP 
2. function clean_xss(&$string, $low = False) 
3. { 
4.  if (! is_array ( $string )) 
5.  { 
6.  $string = trim ( $string ); 
7.  $string = strip_tags ( $string ); 
8.  $string = htmlspecialchars ( $string ); 
9.  if ($low) 
10.  { 
11.  return True; 
12.  } 
13.  $string = str_replace ( array ('"', "//", "'", "/", "..", "../", "./", "//" ), '', $string ); 
14.  $no = '/%0[0-8bcef]/'; 
15.  $string = preg_replace ( $no, '', $string ); 
16.  $no = '/%1[0-9a-f]/'; 
17.  $string = preg_replace ( $no, '', $string ); 
18.  $no = '/[/x00-/x08/x0B/x0C/x0E-/x1F/x7F]+/S'; 
19.  $string = preg_replace ( $no, '', $string ); 
20.  return True; 
21.  } 
22.  $keys = array_keys ( $string ); 
23.  foreach ( $keys as $key ) 
24.  { //Vevb.com 
25.  clean_xss ( $string [$key] ); 
26.  } 
27. } 
28. //just a test 
29. $str = 'Vevb.com<meta http-equiv="refresh" content="0;">'; 
30. clean_xss($str); //如果你把這個注釋掉，你就知道xss攻擊的厲害了 
31. echo $str; 
32. ?>