ZendFramework で作成された巨大なアプリケーションがあります。以前はすべて問題ありませんでした。今のところ、再設計され、多くの新しい機能とオプションを受け取りましたが、xss からこのソフトウェアを守らなければなりません。変数はいくつかのソース (Web フォーム、Web サービス、API など) から取得されます。一部はエスケープする必要があり、一部はエスケープする必要があります。すべて (2000 以上) のファイルを編集せず、すべてのエコーをエスケープせずに、私の Web サイトを防御するための最良の方法は何だと思いますか?
質問する
81 次
1 に答える
0
Zend Framework には、「Zend_Filter」というクラスが付属しています。このクラスには、指定された文字列からすべてのタグを削除する「StripTags」フィルター オプションがあります。
http://framework.zend.com/manual/en/zend.filter.set.html#zend.filter.set.striptags
何かを除外する場合、ストリップ タグ フィルターでさえ、入力のサニタイズにはお勧めできず、XSS 攻撃に対する防御に使用するべきではありません。Tidy または HTMLPurifier の使用を推奨しています。
HTML Purifier はかなり使いやすいと思います。彼らのドキュメントのウェブサイトから:
require_once '/path/to/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault(); $purifier = 新しい HTMLPurifier($config); $clean_html = $purifier->purify($dirty_html);
それが役立つことを願っています!
乾杯!
于 2012-08-02T22:00:29.823 に答える