2

次のコードを見てみましょう。

$this->input->post('title', FALSE);

XSS フィルタリングを手動で無効にしました。

次に、いくつかの例を見てみましょう。

<p BAD_ATTR_KEY="BAD_ATTR_VAL">Salam</span>

戻り値:

<p BAD_ATTR_KEY="BAD_ATTR_VAL">Salam</span>

<p style="color: red;">Salam</span>

戻り値:

<p  red;">Salam</span>

サイト管理者がページ上の任意の要素にさまざまなインライン スタイルを簡単に割り当てることができるように、この動作を無効にする方法はありますか?

アップデート:

application/config/config.php常に必要なので、グローバル XSS フィルタリングを有効にしました。

信頼できる管理者がバックエンドからコンテンツを投稿している場合にのみ、XSS フィルタリングは必要ありません。そのために、上記のコードで説明したように、手動で XSS フィルタリングを無効にしました。そして、手動設定は にあるデフォルトの設定を上書きする必要があると思いますconfig.phpので、問題はないはずです。

4

3 に答える 3

2

Asadのコメントによると、私の問題が何であるかがわかりました。

以下を使用して XSS フィルタリングを手動で無効にした今でも、

$body = $this->input('body', FALSE);

で XSS フィルタリングを有効にしたため、これはまだ削除されていましたapplication/config/config.php

とにかく、2番目のパラメーターを使用してオーバーライドできなかった理由がよくわかりません。

于 2012-10-21T11:05:05.253 に答える