Как избежать xss atack в php codeigniter

Question

Я относительно новичок в веб-разработке. И только сегодня мой учитель сказал мне внедрить метод, чтобы избежать использования кросс-сервера в моем проекте. Я много искал и нашел около xss_clean, но я не уверен, как его использовать и реализовать. Любое руководство или статья, связанная с этим, приветствуются. Или если вы хотите объяснить здесь, что бы сэкономить мне много лишней тяжелой работы, я буду очень благодарен вам. Я использую рамки CodeIgniter, поэтому, пожалуйста, любая статья, связанная с этим, будет хорошей.

Answer 1

Проблема с уязвимостями XSS заключается в том, что вы не можете просто применить одно исправление . Эти уязвимости могут возникать в каждой мелочи, которую вы пишете.

XSS происходит, когда злоумышленник может вставлять HTML на страницу посетителя вашего сайта. В зависимости от того, что это за код, он может отправить посетителя на свой фишинг-сайт или украсть его сеанс.

Нетрудно представить, как вы можете предотвратить инъекцию HTML: вы просто удаляете HTML-файлы из всех пользовательских вводных данных. Но на практике это может быть довольно много, и ваша система защищена как самая слабая.

Answer 2

По моему опыту, XSS XI довольно хорош - я столкнулся с ситуациями, когда он удаляет то, что я хотел, что может быть больно отлаживать, если вы этого не ожидаете. Я никогда не мог «легко» обойти его и не читать о каких-либо эксплойтах (а сообщество CI довольно велико).

Для получения дополнительной информации смотрите ниже ссылку, которая может помочь вам http://blog.astrumfutura.com/2011/05/codeigniter-2-0-2-cross-site-scripting-xss-fixes-and-recommendations/

Прочитайте это также https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

http://htmlpurifier.org/

Answer 3

для удаления XSS атаки вы можете сделать следующие вещи:

1. вам необходимо удалить ненужный тег «script» от post и get значение.
2. удалить meta-characters от post и get значение.