我在zendView中执行了很多$this->escape()操作。这足以防止XSS吗?在ZendFramework之外还有HTMLPurifier。我想知道zend的$this->escape()与HTMLPurifier相比如何。 最佳答案 escape是htmlspecialchars的别名。它允许您输出纯文本,而HTMLPurifier允许您输出安全的HTML。你不能用纯文本进行XSS。如果你想输出来自用户输入的安全HTML(例如富文本编辑器),你必须使用HTMLPurifier而不是strip_tags。
我有一个接受url的表单文本字段。提交表单后,我使用适当的反sql注入(inject)将此字段插入到数据库中。我的问题是关于xss。这个输入字段是一个url,我需要在页面上再次显示它。我如何在进入数据库的途中保护它免受xss攻击(我认为不需要任何东西,因为我已经处理过sql注入(inject))和在离开数据库的途中?假设我们是这样的,我正在简化它,请不要担心sql注入(inject)。之后我该去哪里?$url=$_POST['url'];谢谢 最佳答案 假设这将被放入HTML内容中(例如和之间或和之间),您需要对5个特殊的XML字符
所以,防止网站受到XSS攻击非常简单,你只需要使用htmlspecialchars函数就可以了。但是,如果开发人员忘记使用它,攻击者/黑客可以做什么?他可以得到你的session_id,对吧?这是一个问题。他能用那个做什么?非常感谢。 最佳答案 So,preventingwebsitefromXSSattackisverysimple,youjustneedtousehtmlspecialcharsfunctionandyouaregood.没错。当您要重新显示用户控制的输入时,可以在任何地方使用它。这涉及HTTP请求的所有部分:h
我正在尝试通过url避免XSS攻击网址:http://example.com/onlineArcNew/html/terms_conditions_1.php/%22ns=%22alert%280x0000DC%29我试过了var_dump(filter_var('http://10.0.4.2/onlineArcNew/html/terms_conditions_1.php/%22ns=%22alert%280x0000DC%29',FILTER_VALIDATE_URL));和其他使用正则表达式但根本不起作用的url_validation。上面的链接显示了所有信息,但我的css和一
之前有人问过这个问题,但我需要100%清楚这个问题,因为正确处理对我来说非常重要。情况:网站上的消息系统。用户在文本框中输入一条消息,他们提交表单并将其输入到数据库中。然后可以从数据库中调用此数据并在中显示标记给另一个用户。我需要采取什么安全程序来防止这些数据被恶意使用?我已经使用mysql_real_escape_string来停止任何注入(inject),strip_tags似乎很有用,但我听说过很多其他名称。考虑到它仅显示在中,我需要使用什么来保护此数据?标签?谢谢。 最佳答案 误解是想对输入进行转义,这是错误的。您必须过滤输
我在“symphonyCMS”应用程序中找到它,它非常小:https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php#L100我正在考虑窃取它并在我自己的应用程序中使用它来使用HTML清理字符串以便显示。你觉得它做得好吗?ps:我知道有HTMLPurifier,但那东西很大。我宁愿选择不那么宽松的东西,但我仍然希望它高效。我一直在针对此页面中的字符串对其进行测试:http://ha.ckers.org/xss.html.但如果针对“XSS定位器2”失败。不确定如何使用该字符串来破解网站:)
问题:什么是最好的safe1()、safe2()、safe3()和safe4()函数来避免UTF8编码页面的XSS?它在所有浏览器(特别是IE6)中是否也安全?">vara="";.myclass{width:}.很多人说可以做到的绝对最好的是://safe1&safe2$s=htmlentities($s,ENT_QUOTES,"UTF-8");//Buthowwouldyoucomparetheaboveto://https://github.com/shadowhand/purifier//ORhttp://kohanaframework.org/3.0/guide/api/Se
我有一个企业级应用程序,登录用户有权使用所见即所得编辑器将文章发布到页面。(您可以将此应用程序视为网站构建器。)一切正常,但问题是;WYSIWYG编辑器发布包含文章的HTML,还有一些Laravel不喜欢的本地化字符串字符,所以Laravel的alpha_num检查不能通过。(因此我们不在验证检查中使用它。)我们需要允许像这样的字符,",>因为他们可能想使用WYSIWYG编辑器做一些基本的样式,所以htmlspecialchars()在回显/清理值时不是一个选项,因为像这样的有害东西休息。用户可以发布诸如alert('Hello');之类的内容或我知道这是一个巨大的安全风险,但我们无法
我正在尝试修复我的标题。我在访问我的页面时检查网络请求时看到两个错误:1)X-FRAME-OPTIONS:SAMEORIGIN显示两次:Cache-Control:no-cacheConnection:Keep-AliveContent-Encoding:gzipContent-Type:text/html;charset=UTF-8Date:Wed,04Oct201712:58:30GMTKeep-Alive:timeout=3,max=1000Server:ApacheSet-Cookie:laravel_session=eifQ%3D%3D;expires=Wed,04-Oct-
这是否取决于输入是否要打印给用户?在我的例子中,我需要将输入返回给用户(评论和简介)。谢谢!!! 最佳答案 htmlspecialchars()足以防止XSS。Striptags删除标签但不删除特殊字符,如"或',因此如果您使用strip_tags(),您还必须使用htmlspecialchars()。如果您希望用户的评论像他们输入的一样显示,请不要使用strip_tags,仅使用htmlspecialchars()。 关于php-我应该同时使用striptags()和htmlspeci
