系统安全

可以通过以下几种方式预防：

过滤所有用户输入的数据，默认可以使用 HtmlUtil::filter 进行富文本过滤）

在 blade 页面渲染数据时通常有两种方式，如果内容中可能含有 xss 内容，需要过滤或者使用第一种

防止网页被嵌套

生产环境的网站都会添加防盗链，不希望自己网页页面被其他站的 FRAME 嵌套进去， 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。

• SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
• 表示该页面可以在指定来源的 frame 中展示。

Nginx参考

Apache参考

内容安全策略

详细参考：http://www.ruanyifeng.com/blog/2016/09/csp.html (opens new window)

如配置限定script执行，可参考配置

Nginx参考

可配合使用 模块来记录非法 script 请求