我正在使用Codeigniter中的CMS,我目前正在为我的所有字段设置一些验证规则。
我启用了XSS过滤和CSRF保护。我也在使用有效记录。
内容字段允许HTML字符,但我不希望执行JS / PHP代码(XSS过滤会阻止这种情况吗?)。
有了我目前设置的保护措施,还有什么我仍然容易受到影响吗?我应该采取什么预防措施?我应该采用什么验证规则?
答案 0 :(得分:0)
你需要编写一个自定义回调函数来剥离php / js标签。
http://codeigniter.com/user_guide/libraries/form_validation.html#callbacks
答案 1 :(得分:0)
CI的XSS过滤器在不在脚本标记内时会错过Javascript事件。我不建议您关闭过滤器,但另外您应该在输入后立即对数据进行编码,至少使用PHP内置函数,并在输出之前进行解码。