Php 如何防止潜在的XSS

我在阅读有关XSS的文章时发现，检查IP和用户代理是防止cookie窃取的好方法。我在SO上进行了测试，发现SO在更改IP或用户代理后不会注销用户，但当我复制ALL头并使用其他程序将其发送到SO时，它将我发送出去。当IP和用户代理不重要且所有http头都相同时，它如何检测出不同的内容？

SE使用了一种更有效的身份验证方法。SE将令牌（如cookie）保存为子域上的脱机数据，并将其发送到服务器，在服务器上以某种方式验证数据。然后，您将获得发送到登录站点的临时令牌，您将登录

---

我希望这会有所帮助。

移动用户的IP地址可以在会话期间更改，因为他们在街上开车。我不确定我是否建议将其作为防止会话劫持的一个因素。如果你有一个可靠的ISP查找数据库，更换ISP可以被认为是一个更好的指示，但即便如此，有人把iPhone从办公室带到星巴克可能会触发这种情况。@EricJ。谢谢，我没想到：-）我没明白。当所有标题都与原始标题相同时，它如何检测到我是其他人？可能会执行其他检查，例如第二个隐藏标记。我的意思是，我可以看到，虽然登录过程中，一个令牌是通过一个函数读取的，但我不能这样做。我不知道为什么，所以我不能偷那节课。但无论如何，最好是通过解析来自web的所有内容来阻止任何xss。