1

私はCodeigniterでCMSに取り組んでおり、現在、すべてのフィールドに対していくつかの検証ルールを設定しています。

XSSフィルタリングとCSRF保護を有効にしています。アクティブなレコードも使用しています。

コンテンツフィールドはHTML文字を許可しますが、JS / PHPコードを実行したくありません(XSSフィルタリングはこれを防ぎますか?)。

私が現在設定している保護で、私がまだ影響を受けやすいものはありますか?どのような予防策を講じるべきですか?どの検証ルールを採用する必要がありますか?

4

2 に答える 2

0

php/jsタグを取り除くためのカスタムコールバック関数を作成する必要があります。

http://codeigniter.com/user_guide/libraries/form_validation.html#callbacks

于 2012-08-09T17:28:19.670 に答える
0

CI の XSS フィルタは、JavaScript イベントがスクリプト タグ内にない場合に見逃します。フィルターをオフにすることはお勧めしませんが、少なくとも PHP 組み込み関数を使用して、入力直後にデータをエンコードし、出力直前にデコードする必要があります。

于 2012-08-09T22:23:00.823 に答える