基本上XSS是一个OUTPUT问题 – 但Codeigniter将其作为INPUT问题处理.

Can someone elaborate how it’s bad…

问题是xss_clean会改变你的INPUT – 这意味着在某些情况下(比如你所描述的密码问题)输入不是预期的.

…or at least give 1 most probable scenario where it can be exploited?

它只查找某些关键词,例如“javascript”. xss_clean没有检测到其他脚本操作,而且它不会保护您免受任何“新”攻击.

The one thing I don’t like is javascript: and such will be converted to [removed]. Can I extend the CI’s security core $_never_allowed_str arrays so that the never allowed strings return empty rather than [removed]

你可以做到这一点 – 但你只是把一个绑带放在一个糟糕的解决方案上.

I’ve been reading about pros and cons about whether to escape on input/output with majority says that we should escape on output only.

这是正确的答案 – 逃避所有输出,并且你有真正的XSS保护,而不改变输入.

我个人在Codeigniter中对XSS保护的方法是我不对输入进行任何XSS清理.我在_output上运行一个钩子 – 它清除我的所有“view_data”(这是我用来向视图发送数据的变量).

如果我不想通过在我的控制器中插入“$view_data [‘clean_output’] = false”来运行XSS Clean,我可以切换:钩子检查:

if (( ! isset($this->CI->view_data['clean_output'])) || ($this->CI->view_data['clean_output']))

{

// Apply to all in the list

$this->CI->view_data = array_map("htmlspecialchars", $this->CI->view_data);

}

这为我的整个网站提供了自动和完整的XSS保护 – 只需几行代码而且没有性能损失.

php xssclean,php – Codeigniter xss_clean困境相关推荐

  1. php ci xss_clean,php – codeigniter 2以及如何为TinyMCE禁用xss

    香港专业教育学院搜索了包括stackoverflow在内的每个站点. 我已经全局启用了XSS,并且我使用了TinyMCE.在那些页面上,我希望TinyMCE部分没有启用XSS. 在阅读了大约40页后, ...

  2. php开发用户登录模块,使用CodeIgniter开发用户登录注册模块

    本文介绍使用CodeIgniter来开发一个用户登录和注册的小模块,有详细的数据库表和ci代码. 1.数据库设计 字段 类型 空 额外 索引 id int(10) 否 auto_increment p ...

  3. 使用 CodeIgniter 框架快速开发 PHP 应用(四)

    原文:使用 CodeIgniter 框架快速开发 PHP 应用(四) 使用 CI 简化数据库开发 你学习CI 是因为你想要使编程更容易和更有生产力.这一章讲述CI的Active Record类. 如果 ...

  4. Codeigniter的一些优秀实践

    最近准备接手改进一个别人用Codeigniter写的项目,虽然之前也有用过CI,但是是完全按着自己的意思写的,没按CI的一些套路.用在公众的项目,最好还是按框架规范来,所以还是总结一下,免得以后别人再 ...

  5. CodeIgniter框架源码学习之安全类--Security.php

    文件位置:./system/core/Security.php <?php /** * CodeIgniter * * An open source application developmen ...

  6. php codeigniter安全,CodeIgniter安全相关设置汇总

    CodeIgniter框架自身提供了一些安全设置如针对XSS和CSRF攻击的防范,针对SQL注入攻击的防范等. 就配置文件而言: 在application/config/config.php中 $co ...

  7. Codeigniter

    最近准备接手改进一个别人用Codeigniter写的项目,虽然之前也有用过CI,但是是完全按着自己的意思写的,没按CI的一些套路.用在公众的项目,最好还是按框架规范来,所以还是总结一下,免得以后别人再 ...

  8. 伦理困境:人工智能浪潮与“AI威胁论”之争

    首先,何为伦理? 2018年1月份的<科学与社会>报刊中有如下阐述: 伦理一词,英文为ethics,一词源自于希腊文的"ethos",其意义与拉丁文"more ...

  9. 自动泊车技术短暂困境,前景可期

    自动泊车技术短暂困境,前景可期 倒车,是几乎所有驾驶员都会遇到的难题,尤其是在北京这种车多但停车空间有限的大城市,倒车不仅是对驾驶技术的一大考验,严重的甚至可能引发拥堵或交通事故,而对驾车新手而言,倒 ...

最新文章

  1. Hibernate关联关系映射
  2. 一个不可描述的python+mongodb爬虫项目
  3. shell脚本输出菱形与等边三角形
  4. 软件需求与分析极简总结
  5. Windows之在终端打开当前目录的命令
  6. docker 配置文件:/etc/docker/daemon.json
  7. java stringutils api_StringUtils工具类常用api 转
  8. linux基础:7、基础命令介绍(2)
  9. dbhelp mysql c_C++写的一个MYSQL控制台(3)
  10. 事件 ID: 3006 定期记录到应用程序日志
  11. Android逆向之分析某锁机恶意软件
  12. 没有良好数学基础,应该怎样学习人工智能?
  13. java如何实现导出Excel(附源码)--文末送书
  14. SAP ABAP SD常用函数或BAPI
  15. 华为笔记本linux usb启动,华为MateBook D(2018) BIOS设置u盘启动教程
  16. OPPO折叠屏发布后,外媒把“矛头”对准三星,Find N和Fold 3哪个好?
  17. 手机软件测试电脑,(转载)如何在电脑上测试手机网站
  18. GitHub 标星 167k!你要的优质书籍这都有,还开源!
  19. MATLAB卡尔曼滤波-实例
  20. jaas权限认证的剖析

热门文章

  1. 论文浅尝 | Learning with Noise: Supervised Relation Extraction
  2. JavaScript每日学习日记(2)
  3. 20190423面试记录
  4. nginx 高并发优化参数
  5. Oracle 通过字段名查询其所在的表
  6. mysql数据库中的校对集
  7. 微信 小程序 canvas
  8. js中函数的使用方式及回调函数
  9. asp.net 一个简易权限的小例子设计
  10. 【剑指offer】面试题22:链表中倒数第k个节点(Java)