XSS clean in kohana 3.1

| 我看到将xss clean用于kohana旧版本的文档 http://docs.kohanaphp.com/general/security 但是如何在kohana 3.1中实现这一目标 使用htmlpurifier 和替代 
$this->input->get(\'my_var\',\'default_value\', true);
    
2020-03-27 3 条评论
分享

没有找到相关结果

    已邀请:

    剃摧庭峨僳

    Rasmus建议从Kohana中删除XSS黑名单,以便使用ѭ1来转义输出,或者使用HTMLpurifier,以防万一您确实需要让一些HTML进入。 从3.1开始,安全性默认情况下没有
    xss_clean()
    方法,您将必须安装shadowhand的HTMLpurifier模块来保护输入字符串(通过从github添加子模块,将其放在模块中并在引导程序中启用) 。 模块本身将覆盖默认的Security类,并添加使用HTMLpurifier进行转义的
    xss_clean()
    方法。该模块还有一个配置文件,您可以在应用程序级别设置所有内容。由于多种原因,无法“自动”完成输入转义。开销,一致性等 由于Request在此版本中进行了很大程度的重写,以匹配RFC 2616并获得更强大的HMVC,因此您将使用
    Request::query()
    [控制器内的ѭ5query]访问查询字符串vars,但是在此上仍没有转义方面(每个请求可以具有自己的标头,POST,GET等) 逃避当前POST var的最简单方法是: 
    $safe = Arr::map(\'Security::xss_clean\', $this->request->post());
    附言 不要在这里写关于ѭ7的废话,不要太在意,它只是用于访问匹配的Route的参数,而不是您的GET或POST变量。     
    2020-03-27 0 0
    分享

    春驹晴陪

    Kohana框架的HTMLPurifier模块: https://github.com/shadowhand/purifier 在引导程序中加载de模块并测试: 
    $my_test = \'<a href=\"#\" onclick=\"window.location.href = \\\'http://google.com\\\'\"></a>\';
echo Security::xss_clean($my_test);
        
    2020-03-27 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.037309169769287