Ric*_*nop 11 html php xss xhtml htmlpurifier
我正在使用HTML Purifier来保护我的应用程序免受XSS攻击.目前我正在从WYSIWYG编辑器中净化内容,因为这是唯一允许用户使用XHTML标记的地方.
我的问题是,我是否应该在登录验证系统(或注册页面的输入字段,如电子邮件,姓名,地址等)上使用HTML Purifier用户名和密码?那里有XSS攻击的机会吗?
Tyl*_*ter 13
您应该净化任何可能在页面上显示的内容.因为使用XSS攻击,黑客会放入<script>可以链接到其他站点的标签或其他恶意标签.
密码和电子邮件应该没问题.密码永远不应该显示,电子邮件应该有自己的验证器,以确保它们的格式正确.
最后,要记住在内容上加入htmlentities().
哦..还看看filter_var.过滤变量的非常好的方法.
| 归档时间: |
|
| 查看次数: |
3341 次 |
| 最近记录: |