pin*_*aki 1 php security mod-security htmlpurifier owasp
我们之前已将htmlpurifier集成到我们基于LAMP的产品中,但它有点慢.最近,我们开启了mod_security.这两个都是OWASP项目的一部分(owasp在内部使用htmlpurifer,我检查过),所以我认为安全性是多余的.
你会建议什么?关闭htmpurifier是一个可行的选择吗?谢谢你的回答.
他们都做不同的事情.mod_security是黑名单.它涵盖了一些通用漏洞(其中包括XSS,SQL注入,目录遍历,url注入等)和过去的应用程序错误,但更容易通过更精细的编码和特定于应用程序的方法来绕过过滤器.(它通常只是探测某些URL参数.)
HTMLPurifier真的只是干预HTML清理,但它确实做得很好.它是白名单过滤器,因此根据定义更安全.这当然很慢.这就是为什么你应该只将它应用于传入数据,而不是作为一切和所有地方的通用过滤器.如果它减慢了你的应用程序,你可能会在错误的位置使用它.