Codeigniter XSS защита

Question

Я искал codeigniter последние несколько дней.Это выглядит многообещающе, но есть несколько вопросов.Глобальная защита XSS вовсе не безопасна, она отстой!Я играл с этим, и я точно могу сделать так много «плохих запросов»

Что делают пользователи codeigniter?просто оставить его и создать собственную защиту XSS?Существуют ли какие-либо классы для codeigniter (или php), которые помогают предотвратить атаки XSS?

Также кажется, что защита XSS несколько раз снимается, когда она «работает» и код находит совпадение.

Любая помощь будет отличной!Спасибо!

Answer 1

Я не включаю Global XSS. После того, как он включен глобально, его невозможно отключить для одноразовых экземпляров, таких как использование редактора Tiny MCE для контента. Я буквально просмотрел код CI и обнаружил, что он перезаписывает данные $ _POST, $ _ GET, если XSS включен глобально, тогда данные записываются в $ _POST раздетый.

Решение XSS Global = выкл

$this->input->post('varname',true); //for clean data
$this->input->post('varname',false); //for something you want to clean manually
$varname=filter_var($_POST['varname']); //raw and old school

Answer 2

Исходя из моего опыта, XI CI довольно хорош - я сталкивался с ситуациями, когда он действительно удаляет то, что я хотел, что может быть затруднительно для отладки, если вы этого не ожидаете.Мне никогда не удавалось "легко" обойти его, и я не читал о каких-либо подвигах (а сообщество CI довольно большое).

Если вы очень обеспокоены, вы можете отключить защиту и использование XSS CI«более» всеобъемлющий фильтр, такой как HTML Purifier - вы также можете прочитать шпаргалку OWASP XSS , потому что входные данные очистки - это лишь малая часть защиты XSS.