基本上XSS是一个OUTPUT问题 – 但Codeigniter将其作为INPUT问题处理.

Can someone elaborate how it’s bad…

问题是xss_clean会改变你的INPUT – 这意味着在某些情况下(比如你所描述的密码问题)输入不是预期的.

…or at least give 1 most probable scenario where it can be exploited?

它只查找某些关键词,例如“javascript”. xss_clean没有检测到其他脚本操作,而且它不会保护您免受任何“新”攻击.

The one thing I don’t like is javascript: and such will be converted to [removed]. Can I extend the CI’s security core $_never_allowed_str arrays so that the never allowed strings return empty rather than [removed]

你可以做到这一点 – 但你只是把一个绑带放在一个糟糕的解决方案上.

I’ve been reading about pros and cons about whether to escape on input/output with majority says that we should escape on output only.

这是正确的答案 – 逃避所有输出,并且你有真正的XSS保护,而不改变输入.

我个人在Codeigniter中对XSS保护的方法是我不对输入进行任何XSS清理.我在_output上运行一个钩子 – 它清除我的所有“view_data”(这是我用来向视图发送数据的变量).

如果我不想通过在我的控制器中插入“$view_data [‘clean_output’] = false”来运行XSS Clean,我可以切换:钩子检查:

if (( ! isset($this->CI->view_data['clean_output'])) || ($this->CI->view_data['clean_output']))

{

// Apply to all in the list

$this->CI->view_data = array_map("htmlspecialchars", $this->CI->view_data);

}

这为我的整个网站提供了自动和完整的XSS保护 – 只需几行代码而且没有性能损失.

php xssclean,php – Codeigniter xss_clean困境相关推荐

  1. php ci xss_clean,php – codeigniter 2以及如何为TinyMCE禁用xss

    香港专业教育学院搜索了包括stackoverflow在内的每个站点. 我已经全局启用了XSS,并且我使用了TinyMCE.在那些页面上,我希望TinyMCE部分没有启用XSS. 在阅读了大约40页后, ...

  2. php开发用户登录模块,使用CodeIgniter开发用户登录注册模块

    本文介绍使用CodeIgniter来开发一个用户登录和注册的小模块,有详细的数据库表和ci代码. 1.数据库设计 字段 类型 空 额外 索引 id int(10) 否 auto_increment p ...

  3. 使用 CodeIgniter 框架快速开发 PHP 应用(四)

    原文:使用 CodeIgniter 框架快速开发 PHP 应用(四) 使用 CI 简化数据库开发 你学习CI 是因为你想要使编程更容易和更有生产力.这一章讲述CI的Active Record类. 如果 ...

  4. Codeigniter的一些优秀实践

    最近准备接手改进一个别人用Codeigniter写的项目,虽然之前也有用过CI,但是是完全按着自己的意思写的,没按CI的一些套路.用在公众的项目,最好还是按框架规范来,所以还是总结一下,免得以后别人再 ...

  5. CodeIgniter框架源码学习之安全类--Security.php

    文件位置:./system/core/Security.php <?php /** * CodeIgniter * * An open source application developmen ...

  6. php codeigniter安全,CodeIgniter安全相关设置汇总

    CodeIgniter框架自身提供了一些安全设置如针对XSS和CSRF攻击的防范,针对SQL注入攻击的防范等. 就配置文件而言: 在application/config/config.php中 $co ...

  7. Codeigniter

    最近准备接手改进一个别人用Codeigniter写的项目,虽然之前也有用过CI,但是是完全按着自己的意思写的,没按CI的一些套路.用在公众的项目,最好还是按框架规范来,所以还是总结一下,免得以后别人再 ...

  8. 伦理困境:人工智能浪潮与“AI威胁论”之争

    首先,何为伦理? 2018年1月份的<科学与社会>报刊中有如下阐述: 伦理一词,英文为ethics,一词源自于希腊文的"ethos",其意义与拉丁文"more ...

  9. 自动泊车技术短暂困境,前景可期

    自动泊车技术短暂困境,前景可期 倒车,是几乎所有驾驶员都会遇到的难题,尤其是在北京这种车多但停车空间有限的大城市,倒车不仅是对驾驶技术的一大考验,严重的甚至可能引发拥堵或交通事故,而对驾车新手而言,倒 ...

最新文章

  1. python 之 collections
  2. java开发遇到最大的问题_java开发遇到的问题总结(三)
  3. HTML+CSS+JS实现 ❤️酷炫HUD科幻数据屏幕动画界面❤️
  4. SpringMVC介绍
  5. VMware Perl SDK error “Server Version Unavailable .. line 545”
  6. nginx+php配置
  7. html武侠文字游戏源码,执剑行!最新武侠文字mud游戏
  8. uboot_v2016 版本中fw_printenv的编译问题
  9. ios系统升级记录适配篇
  10. 如何使用Transformers和Tokenizers从头开始训练新的语言模型
  11. 云-腾讯云:实时音视频
  12. 企业管理必须具备的8大要素!
  13. 英语语言测试学什么软件,开言英语APP,让语言学习在真实情况下进行
  14. Win10打开老游戏血战上海滩
  15. 分享让世界更美丽,TopSemic有奖征文
  16. STFT使用overlap-add重建信号
  17. GitHub Desktop使用说明(2)快捷键
  18. 移动硬盘(USB3.0接口)插入笔记本(USB3.0接口)插入之后一会时间会提示无法识别,重新插入一次才能正常使用的问题
  19. 如何提升计算机的网络性能,提升WIFI信号强度(提高网速)的10大方法
  20. draggable布局 vue_Vue.Draggable使用文档总结

热门文章

  1. 技术动态 | 67 亿美金搞个图,创建知识图谱的成本有多高你知道吗?
  2. 新闻 | 聚焦技术领域现状与发展阿里巴巴知识图谱专场亮相云栖大会 阿里知识图谱亮相云栖大会产学深度交流推进业务创新
  3. 竞赛|数据竞赛Top解决方案开源整理-科大讯飞AI营销算法、阿里妈妈搜索广告、腾讯广告算法、搜狗的用户画像
  4. DGL实现同构/异构图卷积模型
  5. class(一)--类的创建
  6. 单例在多线程中的使用
  7. 国内2大Git代码托管网站
  8. Silverlight中全屏处理
  9. 浅谈项目开发现状(一)
  10. 数据库高级知识——索引优化分析(一)