Php 编码点火器XSS保护
过去几天我一直在研究codeigniter。这看起来很有希望,但问题很少。全局XSS保护根本不安全,太糟糕了!我一直在玩弄它,我肯定能提出这么多“糟糕的要求” codeigniter用户做什么?只需关闭它,并创建自己的XSS保护?是否有任何现有的codeigniter(或php)类可以帮助防止XSS攻击 有时,当XSS保护“起作用”并且代码找到匹配项时,它似乎剥离了太多Php 编码点火器XSS保护,php,codeigniter,xss,Php,Codeigniter,Xss,过去几天我一直在研究codeigniter。这看起来很有希望,但问题很少。全局XSS保护根本不安全,太糟糕了!我一直在玩弄它,我肯定能提出这么多“糟糕的要求” codeigniter用户做什么?只需关闭它,并创建自己的XSS保护?是否有任何现有的codeigniter(或php)类可以帮助防止XSS攻击 有时,当XSS保护“起作用”并且代码找到匹配项时,它似乎剥离了太多 任何帮助都会很好!谢谢 根据我的经验,CI的XSS相当不错——我遇到过这样的情况:它确实删除了我想要的东西,如果您不期望它,那
任何帮助都会很好!谢谢 根据我的经验,CI的XSS相当不错——我遇到过这样的情况:它确实删除了我想要的东西,如果您不期望它,那么调试起来可能会很痛苦。我从来没有能够“轻松地”绕过它,也没有读过任何利用漏洞的文章(而且CI社区相当大)
如果您非常担心,可以关闭CI的XSS保护,并使用“更”全面的过滤器,例如--您可能还想阅读,因为清除输入只是XSS保护的一小部分。根据我的经验,CI的XSS非常好——我遇到过这样的情况:它确实删除了我想要的东西,如果您不希望这样做,那么调试起来可能会很痛苦。我从来没有能够“轻松地”绕过它,也没有读过任何利用漏洞的文章(而且CI社区相当大)
如果您非常担心,可以关闭CI的XSS保护,并使用“更”全面的过滤器,例如--您可能还想阅读,因为清除输入只是XSS保护的一小部分。我不启用全局XSS。一旦在全局范围内打开它,就不可能在单次使用的情况下关闭它,比如对内容使用微型MCE编辑器。我仔细查看了CI代码,发现is重写了$\u POST,$\u获取数据,如果XSS全局打开,那么数据将写入$\u POST 解决方案 XSS全局=关闭
$this->input->post('varname',true); //for clean data
$this->input->post('varname',false); //for something you want to clean manually
$varname=filter_var($_POST['varname']); //raw and old school
我不打开全局XSS。一旦在全局范围内打开它,就不可能在单次使用的情况下关闭它,比如对内容使用微型MCE编辑器。我仔细查看了CI代码,发现is重写了$\u POST,$\u获取数据,如果XSS全局打开,那么数据将写入$\u POST 解决方案 XSS全局=关闭
$this->input->post('varname',true); //for clean data
$this->input->post('varname',false); //for something you want to clean manually
$varname=filter_var($_POST['varname']); //raw and old school
只是好奇。通过XSS保护,你得到了什么?除了咆哮,你能分享一些保护失败的例子吗?你也应该把它们提交给Ellisab,你会为我们CI用户提供很好的服务。只是好奇而已。通过XSS保护,你得到了什么?除了咆哮,你能分享一些保护失败的例子吗?你也应该把它们提交给Ellisab,你将为我们CI用户提供很好的服务。仅供参考,code igniter很棒,对于像我这样的老学究来说,它融合了原始编程和不必做任何事情的轻松性。主动数据库和MVC很容易上瘾。Zead过载,DOOPHP欠发达,CI在中间。FIY,代码点火器是伟大的,对于像我这样的老校友,它混合了原始编程的混合和不做任何事情的简易性。主动数据库和MVC很容易上瘾。Zead超载,DOOPHP欠发达,CI就在中间。