Есть ли в CPAN хорошая библиотека для фильтрации межсайтовых сценариев (XSS)?

Question

Есть ли в CPAN хорошая библиотека для фильтрации текстового поля для всех плохих вещей, например, xss?

Answer 1

Ваш первый шаг всегда должен быть поиск и просмотр результатов. Похоже, что есть много потенциальных хитов . Когда я ищу что-то новое, я просматриваю результаты поиска и проверяю документы модулей, чтобы увидеть, насколько они ясны и насколько хорошо построен API. Я также ищу обзоры (некоторые имеют, некоторые нет - это часто случайно) и проверяю ошибки. Это дает мне ощущение того, с чем я имею дело.

Если ваш вопрос «Какой из этих вариантов лучше?», То, боюсь, я не знаю в этом случае. (Мой первоначальный ответ, возможно, был слишком общим.)

Два хороших места для начала поиска CPAN:

• Поиск CPAN
• Поиск Кобеса

Answer 2

На базовом уровне вы хотите HTML :: Entities , но какой выход вы выберете, зависит от того, где в DOM вы используете значения. Совсем не поможет HTML-сущность, кодирующая вводимые пользователем данные, если вы, например, вставите их в тег <script>.

Вполне вероятно, что вы используете какой-то шаблон для генерации html, поэтому у него должен быть метод для экранирования контента, HTML::Mason имеет <% $thing |h %>, Template::Toolkit имеет [% thing | html %] ... но если вы просто делаете это в своем собственном коде, вам нужно позвонить encode_entities самостоятельно.