我们之前已经将htmlpurifier集成到我们基于LAMP的产品中,但它有点慢。最近,我们开启了mod_security。这两个都是OWASP项目的一部分(owasp内部使用了htmlpurifer,最后我检查了)所以我认为安全性是多余的。
你会建议什么?关闭htmpurifier是一个可行的选择吗?谢谢你的回答。
答案 0 :(得分:5)
他们都做不同的事情。 mod_security是黑名单。它涵盖了一些通用漏洞(其中包括XSS,SQL注入,目录遍历,url注入等)和过去的应用程序错误,但更容易通过更精细的编码和特定于应用程序的方法来绕过过滤器。 (它通常只是探测某些URL参数。)
HTMLPurifier实际上只涉及HTML清理,但它确实很好。它是白名单过滤器,因此根据定义更安全。这当然很慢。这就是为什么你应该只将它应用于传入的数据,而不是作为一切和所有地方的通用过滤器。如果它减慢了你的应用程序,你可能会在错误的位置使用它。