5
私はzendビューでたくさんの$this->escape()をやっています。これはXSSを防ぐのに十分ですか?
Zend Frameworkの外にHTMLPurifierがあります。私はどのようにzendの$this->escape()とHTMLPurifierを比較するのだろうか。
A
答えて
4
エスケープは、htmlspecialcharsのエイリアスです。プレーンテキストを出力できますが、HTMLPurifierでは安全なHTMLを出力できます。
XSSにプレーンテキストを使用することはできません。
ユーザー入力(リッチテキストエディタなど)から安全なHTMLを出力する場合は、strip_tagsではなくHTMLPurifierを使用する必要があります。
4
HTMLPurifierはさまざまな目的で使用されています。 HTMLPurifierはHTMLをエスケープしません...まあまあです。 HTMLで許可されているものと許可されていないものを定義する設定を行い、それに基づいて削除します。結果は実際にはまだHTMLであり、特定のものは削除/消されています。彼らは代わりにHTMLとして解釈されるのブラウザで同じ文字を描画ように、その一方、
エスケープは()(HTMLエンティティへのHTMLに似た文字を回している例えば& - >&、< - ><、 > - >>など)。
異なる目標。
XSSの問題を解決しますか?はい。ただし、文字エンコードが正しく設定されていることを確認してください。
関連する問題
- 1. XSSから私を守るには十分ですか?
- 2. String.stipTags()はXSS攻撃を緩和するのに十分ですか?
- 3. XSS攻撃を阻止するにはmarkdown(strip_tags付き)で十分ですか?
- 4. PHPセッションは、ログインのために十分安全ですか?
- 5. スーパービューからビューを削除するには十分ですか?
- 6. Zend escape()関数が機能しない
- 7. XMPPはMMOのようなコラボレーションのために十分高速ですか?
- 8. はTypeError:フォーマット文字列のための十分な引数
- 9. keil uvision4は8051ハードウェアのための十分な代替品です
- 10. ユニットテストは十分ですか?
- 11. SQLiteは十分ですか?
- 12. アクセス権が不十分です:アクセス権が不十分なため、エントリcn = schemaを変更できません
- 13. 二分法:ない十分な入力エラー、私は二分法のために、次のコードを書いた
- 14. 「Javaランタイムのための十分なメモリが」apacheの
- 15. インポートは十分
- 16. Rubyのバージョンが十分でないためインストールできませんが、私は
- 17. typescriptは十分に堅牢ですか?
- 18. mysql_real_escape_string()はMySQL REGEXPに十分ですか?
- 19. XSSフィルタリングのためのPythonライブラリ?
- 20. ユニットテストのZendコントローラは - どのように私はZendのではビュー
- 21. Eclipse IDEのSAP HANA Modelerビュー十分な特権(REPOSITORY_RESTのEXECUTE)
- 22. Google App Engine Quotasは十分ですか?
- 23. バッシュパイプラインシェルスクリプトは不十分
- 24. リストビューのカスタム行 - 十分ではない
- 25. Zend Frameworkのパーシャルのためのコントローラのビュー変数を設定しますか?
- 26. ドキュメントレベルのトランザクションで十分ですか? (mongodb)
- 27. XSS JSコードファイルに渡されたパラメータのための防止
- 28. は、ユーザー入力の再表示に関連するXSSに対抗するのに十分安全なこのMVCのアプローチですか?
- 29. 十分なスペースがあるためにSQL Serverデータベースにアクセスできない
- 30. 私のmp3のインポートのためにフラッシュに十分なフレームを自動的に追加するには?