私は過去数日間codeigniterを調べてきました。有望に見えますが、問題はほとんどありません。グローバルXSSの保護はまったく安全ではありません。私はそれに取り組んできましたが、私は確かに多くの "悪い要求"をすることができますCodeigniter XSSの保護
codeigniterユーザーは何をしていますか?そのまま放置して、独自のXSS保護を作成しますか? XSS攻撃を防ぐのに役立つcodeigniter(またはPHP)用の既存のクラスはありますか?
XSSの保護機能は、「動作」してコードが一致したときに何度も剥がれているようです。
助けがあれば助かります。ありがとう!
私の経験から、CIのXSSはかなり良いです。私が望むものを取り除く状況に遭遇しました。期待していないとデバッグする苦痛があります。私は決してそれを "容易に"回避することはできませんでした。また、悪用についても読んだことはありませんでした(そして、CIコミュニティはかなり大きい)。
CIのXSS保護をオフにして、HTML Purifierなどの「包括的な」フィルタを使用することもできます。クリーニング入力はXSS保護のごく一部であるため、OWASP's XSS cheat sheetもお読みください。
グローバルXSSをオンにしないでください。グローバルにオンにすると、コンテンツ用にTiny MCEエディタを使用するなど、1回の使用ではオフにすることはできません。私は文字通りCIコードを調べて、$ _POST、$ _ GETデータを書き換えていることがわかりました.XSSがグローバルに存在する場合、データは$ _POSTに書き込まれます。興味があるだけ
ソリューション XSSグローバル=オフ
$this->input->post('varname',true); //for clean data
$this->input->post('varname',false); //for something you want to clean manually
$varname=filter_var($_POST['varname']); //raw and old school
FYI、コードイグナイターは素晴らしいです。私のような古い学生にとっては、すべてを行うことはできません。アクティブデータベースとMVCは中毒性があります。 Zendが過負荷になり、開発中のDooPHP、真ん中のCI。 –
。 XSSの保護を受けていることは何ですか? – Henesnarfel
怒鳴りするのではなく、失敗した保護の例を共有できますか?あなたもEllisLabに提出する必要があります。あなたは私たちのCIユーザーのために素晴らしいサービスをしています。 –