要防止跨站攻击，以下需要做的是什么?【网络测试常见问题】

　　要防止跨站攻击，以下需要做的是()。(选择三项)

　　A.永远不要使用include和require引入靠用户输入决定路径的文件(如include"$username/script.txt";)

　　B.除非网站需要，否则关闭allow_url_fopen

　　C.避免使用如curl这类用来打开远程连接的扩展库。

　　D.使用类似strip_tags()一类的函数过滤一个用户输入给另一个用户看的内容

　　E.以上都对

　　答案：A、B、D。

　　如果用户通过篡改URL来修改$username变量，并且allow_url_fopen是打开的，那么PHP将会下载某台非信任的远程服务器上的script.txt文件，并把它当作本地PHP脚本来执行。所以不要使用include和require的方式引用文件，也尽量关闭allow_url_fopen。所以，选项A选项B正确。

　　对于选项C，如果需要在PHP中打开远程连接受信任的扩展库，则使用curl方法是可以的。所以，选项C错误。

　　对于选项D，一个用户输入的内容给另一个用户看时是需要使用strip_tags()函数过滤HTML标签的，有效防止造成跨站攻击或者浏览器bug。所以，选项D正确。

　　所以，本题的答案为A、B、D。

以下是黑马程序员公开的几套软件测试教程，可以下载跟着学学习，如果想转到软件测试行业，找到软件测试工作，推荐报班学习黑马软件测试课程。