近年来XSS攻击成为了主流，这种攻击原理很简单，黑客将精心构造的JS代码，通过留言或评论的方式提交到系统中，如果系统过滤不严，管理员在后台查阅时，代码就会被执行，登陆的Cookie就被窃取，黑客用此Cookie轻松登陆系统，然后上传木马、提权破坏等等。 

　　防范XSS攻击，主要在于严格过滤用户提交来的数据，对于PHP语言常用strip_tags、htmlspecialchars等函数来处理。但黑客的手段也千奇百怪，利用各种编码、BUG来逃脱过滤，防不胜防！专业的事要交给专业的人来处理，笔者一般喜欢使用htmlpurifier这款富文本HTML过滤器，它采用白名单机制，能有效过滤掉用户提交表单中的非法HTML标签，防范XSS效果明显！

　　当然，随着技术的进步，也有可能出现htmlpurifier过滤不了的情况，我们该想个应对的办法，如何让黑客拿到cookie也无法登陆呢？

　　分析系统登陆后发现，大多数的登陆过程都是验证过帐户名和密码之后，在Session中保存登陆成功的标志，然后生成Cookie，每次用户来访问，只要根据Cookie找到对应的Session，验证其中的标志即可。Session好比超市门口的储物柜，Cookie就是条码纸，如果条码纸被别人偷去了，小偷也可打开储物柜。如何防范单一的条码纸开箱？按近来年流行双重验证的做法，让储物柜在生成条码纸的时候，同时记下用户的特征码（如密码、手机号等），这样即使条码纸被小偷偷去，小偷也开不了箱。

　　按照这个思路，我们只要对系统稍稍改造即可！用户初次登陆，系统保存登陆成功标志到Session中的时候，同时记下用户的IP地址，然后用户每次请求验证的时候，拿现在的IP地址与Session中的IP进行比较，不符则验证失败，清除Session重新登陆！如此，黑客即使拿到Cookie，由于IP不符，也无法登陆成功！

　　参考代码如下：

1
2
3
4
5

<?php
//登陆验证成功后
$_SESSION['LoginAccess'] = 'TRUE';
$_SESSION['IP'] = $_SERVER['REMOTE_ADDR'];
?>

1
2
3
4
5
6
7
8
9
10
11
12
13

<?php
//每次请求时验证
If ($_SESSION['LoginAccess'] == 'TRUE'){
	$ip = $_SERVER['REMOTE_ADDR']; 
	If ($_SESSION['IP'] == $ip){
		return true;
	}else{
		return false;
	}
}else{
	return false;
}
?>

　　附：在php中为Session的Cookie开启HttpOnly，让黑客获取不到Cookie也是个好办法。开启方法如下：
　　PHP5.2以上版本，打开php.ini 设置session.cookie_httponly = TRUE
　　或者在代码中开启：ini_set(“session.cookie_httponly”, 1);