我知道这个问题已经被问了一遍又一遍,但我仍然没有找到我喜欢的完美答案,所以这里再次...
我已经阅读了很多关于 CI 的 xss_filter 的两极分化评论。基本上大多数人都说这不好。有人可以详细说明它有多糟糕,或者至少给出 1 个最可能被利用的场景吗?我查看了 CI 2.1 中的安全类,我认为它非常好,因为它不允许恶意字符串,如 document.cookie、document.write 等。
如果该站点基本上没有 html 表示,那么在插入到数据库之前使用全局 xss_filter 是否安全(或者如果它真的对性能影响那么大,请在每个表单发布的基础上使用它)?我一直在阅读关于是否在输入/输出上转义的利弊,大多数人说我们应该只在输出上转义。但话又说回来,为什么要允许像 <a href="javascript:stealCookie()">Click Me</a> 这样的字符串呢?完全保存在数据库中?
我不喜欢的一件事是 javascript:这样将转换为 [removed] .我可以扩展 CI 的安全核心吗 $_never_allowed_str数组,以便不允许的字符串返回空而不是 [removed] .
我读过的最合理的错误示例是,如果用户的密码为 javascript:123它将被清理成 [removed]123这意味着像这样的字符串 document.write123也将作为用户密码传递。话又说回来,这种情况发生的几率有多大,即使发生了,我也想不出会对网站造成任何真正的伤害。
谢谢
最佳答案
基本上 XSS 是一个输出问题 - 但 Codeigniter 将其作为输入问题处理。
Can someone elaborate how it's bad...
问题是 xss_clean 改变了您的输入 - 这意味着在某些情况下(例如您描述的密码问题)输入不是预期的。
...or at least give 1 most probable scenario where it can be exploited?
它只查找某些关键字,例如“javascript”。还有 xss_clean 未检测到的其他脚本操作,而且它不会保护您免受任何"new"攻击。
The one thing I don't like is javascript: and such will be converted to [removed]. Can I extend the CI's security core $_never_allowed_str arrays so that the never allowed strings return empty rather than [removed]
你可以这样做 - 但你只是在一个糟糕的解决方案上贴了创可贴。
I've been reading about pros and cons about whether to escape on input/output with majority says that we should escape on output only.
这是正确的答案 - 转义所有输出,并且您拥有真正的 XSS 保护,而无需更改输入。
OWASP explains more on XSS here
See a good Codeigniter forum thread on XSS
我个人在 Codeigniter 中保护 XSS 的方法是不对输入进行任何 XSS 清理。我在 _output 上运行了一个钩子(Hook)——它清除了我所有的“view_data”(这是我用来向 View 发送数据的变量)。
如果我不想让 XSS Clean 运行,我可以通过在我的 Controller 中插入一个“$view_data['clean_output'] = false”来切换,钩子(Hook)会检查它:
if (( ! isset($this->CI->view_data['clean_output'])) || ($this->CI->view_data['clean_output']))
{
// Apply to all in the list
$this->CI->view_data = array_map("htmlspecialchars", $this->CI->view_data);
}
这为我的整个网站提供了自动和全面的 XSS 保护 - 只需几行代码并且不会影响性能。
关于php - Codeigniter xss_clean 困境,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10925720/
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visitthehelpcenter指导。关闭9年前。我来自C、php和bash背景,很容易学习,因为它们都有相同的C结构,我可以将其与我已经知道的联系起来。然后2年前我学了Python并且学得很好,Python对我来说比Ruby更容易学。然后从去年开始,我一直在尝试学习Ruby,然后是Rails,我承认,直到现在我还是学不会,讽刺的是那些打着简单易学的烙印,但是对于我这样一个老练的程序员来说,我只是无法将它
我经常使用Rubygemclean命令来保持本地gem存储库的良好状态。但是,由于依赖性问题,很多时候该命令会返回如下提示:XXXXX-1.0.6dependson[YYYYYY(~>0.8.4)]Ifyouremovethisgems,oneormoredependencieswillnotbemet.ContinuewithUninstall?[Yn]虽然这很简单,但它需要手动干预(对于[Yn]响应),因此这阻止了我创建一个简单的cron脚本来自动化这个过程。关于如何为这些gem提示设置默认响应有什么想法吗? 最佳答案 你应该有
我有一段代码,其中有一个带有保护子句的raise语句:defvalidate_indexindex#ChangetoSizeErrorraiseArgumentError,"Sizeofindex(#{index.size})doesnotmatches"\"sizeofvector(#{size})"ifsize!=index.sizeend在这一点上,rubocop给出了罪行:Style/MultilineIfModifier:Favoranormalif-statementoveramodifierclauseinamultilinestatement.我将我的代码修改为正常if
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visitthehelpcenter指导。关闭10年前。我使用PHP的时间太长了,对它感到厌倦了。我也想学习一门新语言。我一直在使用Ruby并且喜欢它。我必须在Rails和Sinatra之间做出选择,那么您会推荐哪一个?Sinatra真的不能用来构建复杂的应用程序,它只能用于简单的应用程序吗?
我很确定Ruby有这些(等同于__call、__get和__set),否则find_by将如何在Rails中工作?也许有人可以举一个简单的例子来说明如何定义与find_by相同的方法?谢谢 最佳答案 简而言之你可以映射__调用带有参数的method_missing调用__设置为方法名称以'='结尾的method_missing调用__获取不带任何参数的method_missing调用__调用PHPclassMethodTest{publicfunction__call($name,$arguments){echo"Callingob
Lisp是否适合Web编程/应用程序(交互式),就像ruby和php一样?需要考虑的事情是:易于使用可部署性难度(尤其是对于编程初学者而言)(编辑)在阅读PaulGraham'sessay之后,我特别提到了CommonLisp.将是我的第一门编程语言。在这方面。这样做合适吗?我听说Clojure的宏功能不如CommonLisp的强大,这就是我尝试学习Clojure的原因。它教授编程并且非常强大。 最佳答案 Lisp是一个语系,而不是单一的语言。为了稍微回答您的问题,是的,存在用于各种Lisp方言的Web框架,例如用于Common
项目背景和意义 目的:本课题主要目标是设计并能够实现一个基于微信校园跑腿小程序系统,前台用户使用小程序发布跑腿任何和接跑腿任务,后台管理使用基于PHP+MySql的B/S架构;通过后台管理跑腿的用户、查看跑腿信息和对应订单。意义:手机网络时代,大学生通过手机网购日常用品、外卖外卖、代取快递等已不再是稀奇的事情。此外,不少高校还流行着校园有偿工作,校园跑腿就成了大学生创业服务项目。 因为你在校园里,所以不会有进入的限制。并不是所有的外卖平台都可以随意进入校园,比如小黄和小蓝的双打外卖平台。许多大学禁止送餐进入学校,更不用说送餐进入宿舍了。这一措施使得校园服务市场的竞争相对不
前言 前端时间PHP项目部署升级需要,需要把Laravel开发的项目部署K8s上,下面以laravel项目为例,讲解采用yaml文件方式部署项目。一、部署步骤1.创建Dockerfile文件Dockerfile是一个用来构建镜像的文本文件,在容器运行时,需要把项目文件和项目运行所必须的组件安装其中。#基础镜像FROMphp:7.4-fpm#时区ARGTZ=Asia/Shanghai#更换容器时区RUNcp"/usr/share/zoneinfo/$TZ"/etc/localtime&&echo"$TZ">/etc/timezone#替换成阿里apt-get源RUNsed-i"s@http
关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于StackOverflow来说是偏离主题的,因为它们往往会吸引自以为是的答案和垃圾邮件。相反,describetheproblem以及迄今为止为解决该问题所做的工作。关闭9年前。Improvethisquestion我对学习Rails很感兴趣已经有一段时间了,我觉得现在正是浸入其中并实际动手实践的好时机。在过去的一周里,我阅读了所有我能找到的关于Ruby和RubyonRails的免费电子书。我刚刚读完RubyEssentials。我也一直在玩htt
在Ruby中(使用Rails,如果相关)将字符串首字母大写的最佳方法是什么?请注意String#capitalize不是我想要的,因为除了将字符串的首字母大写外,此函数还使所有其他字符变为小写(这是我不想要的——我想让它们保持原样):>>"aA".capitalize=>"Aa" 最佳答案 在Rails中你有String#titleize方法:"测试字符串标题化方法".titleize#=>"测试字符串标题化方法" 关于ruby-on-rails-Ruby相当于PHP的ucfirst()