php xssclean,php – Codeigniter xss_clean困境
基本上XSS是一个OUTPUT问题 – 但Codeigniter将其作为INPUT问题处理.
Can someone elaborate how it’s bad…
问题是xss_clean会改变你的INPUT – 这意味着在某些情况下(比如你所描述的密码问题)输入不是预期的.
…or at least give 1 most probable scenario where it can be exploited?
它只查找某些关键词,例如“javascript”. xss_clean没有检测到其他脚本操作,而且它不会保护您免受任何“新”攻击.
The one thing I don’t like is javascript: and such will be converted to [removed]. Can I extend the CI’s security core $_never_allowed_str arrays so that the never allowed strings return empty rather than [removed]
你可以做到这一点 – 但你只是把一个绑带放在一个糟糕的解决方案上.
I’ve been reading about pros and cons about whether to escape on input/output with majority says that we should escape on output only.
这是正确的答案 – 逃避所有输出,并且你有真正的XSS保护,而不改变输入.
我个人在Codeigniter中对XSS保护的方法是我不对输入进行任何XSS清理.我在_output上运行一个钩子 – 它清除我的所有“view_data”(这是我用来向视图发送数据的变量).
如果我不想通过在我的控制器中插入“$view_data [‘clean_output’] = false”来运行XSS Clean,我可以切换:钩子检查:
if (( ! isset($this->CI->view_data['clean_output'])) || ($this->CI->view_data['clean_output']))
{
// Apply to all in the list
$this->CI->view_data = array_map("htmlspecialchars", $this->CI->view_data);
}
这为我的整个网站提供了自动和完整的XSS保护 – 只需几行代码而且没有性能损失.
php xssclean,php – Codeigniter xss_clean困境相关推荐
- php ci xss_clean,php – codeigniter 2以及如何为TinyMCE禁用xss
香港专业教育学院搜索了包括stackoverflow在内的每个站点. 我已经全局启用了XSS,并且我使用了TinyMCE.在那些页面上,我希望TinyMCE部分没有启用XSS. 在阅读了大约40页后, ...
- php开发用户登录模块,使用CodeIgniter开发用户登录注册模块
本文介绍使用CodeIgniter来开发一个用户登录和注册的小模块,有详细的数据库表和ci代码. 1.数据库设计 字段 类型 空 额外 索引 id int(10) 否 auto_increment p ...
- 使用 CodeIgniter 框架快速开发 PHP 应用(四)
原文:使用 CodeIgniter 框架快速开发 PHP 应用(四) 使用 CI 简化数据库开发 你学习CI 是因为你想要使编程更容易和更有生产力.这一章讲述CI的Active Record类. 如果 ...
- Codeigniter的一些优秀实践
最近准备接手改进一个别人用Codeigniter写的项目,虽然之前也有用过CI,但是是完全按着自己的意思写的,没按CI的一些套路.用在公众的项目,最好还是按框架规范来,所以还是总结一下,免得以后别人再 ...
- CodeIgniter框架源码学习之安全类--Security.php
文件位置:./system/core/Security.php <?php /** * CodeIgniter * * An open source application developmen ...
- php codeigniter安全,CodeIgniter安全相关设置汇总
CodeIgniter框架自身提供了一些安全设置如针对XSS和CSRF攻击的防范,针对SQL注入攻击的防范等. 就配置文件而言: 在application/config/config.php中 $co ...
- Codeigniter
最近准备接手改进一个别人用Codeigniter写的项目,虽然之前也有用过CI,但是是完全按着自己的意思写的,没按CI的一些套路.用在公众的项目,最好还是按框架规范来,所以还是总结一下,免得以后别人再 ...
- 伦理困境:人工智能浪潮与“AI威胁论”之争
首先,何为伦理? 2018年1月份的<科学与社会>报刊中有如下阐述: 伦理一词,英文为ethics,一词源自于希腊文的"ethos",其意义与拉丁文"more ...
- 自动泊车技术短暂困境,前景可期
自动泊车技术短暂困境,前景可期 倒车,是几乎所有驾驶员都会遇到的难题,尤其是在北京这种车多但停车空间有限的大城市,倒车不仅是对驾驶技术的一大考验,严重的甚至可能引发拥堵或交通事故,而对驾车新手而言,倒 ...
最新文章
- python框架flask系列(2),Python的Web框架之Flask(2)
- Ehcache缓存配置
- python paramiko模块下载_Python自动化运维实战:使用Python管理网络设备
- 985研究生连论文都不会写,还面试什么大厂
- [转][SVN] Hook scripts的使用方法
- postgresql分割字符串_postgresql 实现字符串分割字段转列表查询
- 很久之前写的【成绩管理系统】的数据库
- 求PSASP大神指教一下安装问题
- fme坐标转换器_利用FME做坐标转换
- 《通信原理与应用》小结
- JanusGraph的使用
- 安卓开发之Intent使用介绍(显式Intent和隐式Intent)
- Wireshark分析流量包案例
- 执念斩长河入CSDN的第一篇日志
- 慕课网风袖小程序 一一第一阶段
- AdamW优化器简单理解
- 使用python创建NBA Shotchart
- Android BLE HIDS Data ,从问询DB 到写入Android 节点的flow 之五
- live555服务器测试
- 联想T430 安装msata接口的SSD固态硬盘