要防止跨站攻擊，以下需要做的是什么?【網(wǎng)絡(luò)測試常見問題】

　　要防止跨站攻擊，以下需要做的是()。(選擇三項)

　　A.永遠不要使用include和require引入靠用戶輸入決定路徑的文件(如include"$username/script.txt";)

　　B.除非網(wǎng)站需要，否則關(guān)閉allow_url_fopen

　　C.避免使用如curl這類用來打開遠程連接的擴展庫。

　　D.使用類似strip_tags()一類的函數(shù)過濾一個用戶輸入給另一個用戶看的內(nèi)容

　　E.以上都對

　　答案：A、B、D。

　　如果用戶通過篡改URL來修改$username變量，并且allow_url_fopen是打開的，那么PHP將會下載某臺非信任的遠程服務(wù)器上的script.txt文件，并把它當作本地PHP腳本來執(zhí)行。所以不要使用include和require的方式引用文件，也盡量關(guān)閉allow_url_fopen。所以，選項A選項B正確。

　　對于選項C，如果需要在PHP中打開遠程連接受信任的擴展庫，則使用curl方法是可以的。所以，選項C錯誤。

　　對于選項D，一個用戶輸入的內(nèi)容給另一個用戶看時是需要使用strip_tags()函數(shù)過濾HTML標簽的，有效防止造成跨站攻擊或者瀏覽器bug。所以，選項D正確。

　　所以，本題的答案為A、B、D。

以下是黑馬程序員公開的幾套軟件測試教程，可以下載跟著學學習，如果想轉(zhuǎn)到軟件測試行業(yè)，找到軟件測試工作，推薦報班學習黑馬軟件測試課程。