请问各位对xss有经验的朋友。在使用yii时的一些做法。谢谢。 [ 2.0 版本 ]

2015-11-16 01:27:49 2455次浏览 1条回答 0 悬赏 100 金钱

请教各位有xss预防经验的朋友。一些实际项目中的做法。

请问各位在面对用户提交的数据时,是怎么处理的。 比如model中有content。 各位保存这个字段的时候,是按用户提交的数据直接保存呢? 还是转码保存的。 我看核心验证器中没有专门针对xss预防的规则。 然后看yii官方的安全实践经验中 只是说了如何安全的输出用户数据,没有说如何安全的保存用户数据.

不知道各位朋友都有什么建议,谢谢大家.

1 个回答

默认排序
  • 回答于 2015-11-16 12:06 举报

    服务端应对xss, 两个关键节点 : 输入 和 输出.

    理论上讲, 任何一个关卡把严了, 就没问题. (这里只针对xss, 不考虑其他)

    不过还是都处理一下吧. 毕竟存储的数据 可能不止你一个人用, 万一队友觉得你在存储前处理了呢...

    具体怎么处理, Yii里面提供了很好的工具. HtmlHelperHtmlPurifier.

    切记 : 不要试图自己去过滤, 使用类似上面提到的这些第三方工具.

    回复 0 0

回答问题

您需要登录后才可以回答。登录 | 立即注册
xjdata
CEO

xjdata

注册时间:2011-12-07
最后登录:2021-07-09
在线时长:112小时28分
  • 粉丝23
  • 金钱14169
  • 威望75
  • 积分16039
私信

热门问题