Codeigniter XSS protection

Question

Я искал codeigniter за последние несколько дней. Это выглядит многообещающе, но проблем мало. Глобальная защита XSS не безопасна вообще, это отстой! Я играл с ним, и я точно могу сделать так много «плохих запросов»

Что делают пользователи-кодогенерирующие? просто оставьте это и создайте собственную защиту XSS? существуют ли существующие классы для codeigniter (или php), которые помогают предотвратить атаки XSS?

Похоже, что защита XSS слишком много удаляется, когда она «работает», и код находит совпадение.

Любая помощь будет замечательной! Благодаря!

Answer 1

Из моего опыта, XSS XI довольно хорош - я столкнулся с ситуациями, когда он удаляет то, что я хотел, что может быть больно отлаживать, если вы этого не ожидаете. Я никогда не мог «легко» обойти его и не читать о каких-либо эксплойтах (а сообщество CI довольно велико).

Если вы очень обеспокоены, вы можете отключить защиту XSS CI и использовать «более» комплексный фильтр, такие как HTML Purifier - вы также можете прочитать OWASP's XSS cheat sheet, потому что чистка ввода только малая часть защиты XSS.

Answer 2

Я не включаю Глобальный XSS. После того, как он включен глобально, невозможно отключить одноразовые экземпляры, например, используя редактор Tiny MCE для контента. Я буквально перешел через код CI и обнаружил, что переписывает данные $ _POST, $ _ GET, если XSS находится глобально, тогда данные получаются в $ _POST.

Решение XSS Global = выкл

$this->input->post('varname',true); //for clean data 
$this->input->post('varname',false); //for something you want to clean manually 
$varname=filter_var($_POST['varname']); //raw and old school