在我的codeigniter配置中,我有$config['global_xss_filtering'] = TRUE;.在我的管理部分,我有一个生成前端内容的ckeditor.
键入并放置在编辑器中的所有内容都能正常工作,图像显示效果很好,html正常工作.除闪光外全部.每当我切换到html模式并粘贴youtube代码片段时,它都会被转义,代码在首页上可见,而不是显示youtube电影.
如果我设置$config['global_xss_filtering'] = FALSE;youtube代码就像它应该传递.这是因为'对象','嵌入'等被CI标记为"顽皮"并因此被逃脱.
如何绕过这个控制器方法的xss过滤?
以下是在Codeigniter中XSS清理数据的方法:
global_xss_filtering在config中设置为TRUExss_clean()xss_clean验证规则TRUEin$this->input->post('something', TRUE)是否可以在一个数据上使用全部或多个?
例如,它会好起来的,如果我仍然使用$this->input->post('something', TRUE),如果数据已被清除,甚至global_xss_filtering和xss_clean验证规则?
为什么CodeIgniter的XSS过滤器只通过特定事物的正则表达式做出反应,而不是首先清理所有输入,无论内容是否被污染?另外,为什么在输入期间而不是在输出上完成(就像它应该是?)