5
Hago un montón de $this->escape() en la vista zend. ¿Es esto suficiente para evitar XSS?
Hay HTMLPurifier fuera del Zend Framework. Me pregunto cómo Zend's $this->escape() se compara con HTMLPurifier.
A
Respuesta
4
escape es un alias de htmlspecialchars. Le permite generar texto sin formato, mientras que HTMLPurifier le permite generar HTML seguro.
No puede tener XSS con texto sin formato.
Debe utilizar HTMLPurifier en lugar de strip_tags si desea generar HTML seguro procedente de una entrada de usuario (por ejemplo, editor de texto enriquecido).
4
HTMLPurifier sirve para un propósito diferente. HTMLPurifier no escapa de HTML ... bueno, no exactamente. Toma una configuración que le da que define lo que está permitido en el HTML y lo que no, y se limpia en función de eso. El resultado es en realidad HTML, con ciertas cosas eliminadas/desinfectadas.
de escape() en esa otra mano se está convirtiendo caracteres HTML como en entidades HTML para que hacen los mismos caracteres en el navegador en lugar de ser interpretado como HTML (por ejemplo & ->&, < -><, > ->> y así sucesivamente).
Diferentes objetivos.
¿Le ahorra problemas con XSS? Sí, pero asegúrese de haber configurado correctamente la codificación de caracteres.
Cuestiones relacionadas
- 1. ¿Es esta función suficiente para la detección de xss?
- 2. HTML-Entidad de escape para evitar XSS
- 3. Prevención XSS. Manejar <script es suficiente?
- 4. ¿Markdown (con strip_tags) es suficiente para detener los ataques XSS?
- 5. ¿Por qué ValidateRequest = "true" no es suficiente para la prevención de XSS?
- 6. valores de escape Json.NET SerializeObject para evitar XSS
- 7. Está reemplazando: < and > con <y> suficiente para evitar la inyección de XSS?
- 8. ¿Es mysql_real_escape_string suficiente para Anti SQL Injection? En
- 9. Zend diferentes scripts de vista?
- 10. ¿Qué hace $ this-> escape() en zend framework en realidad?
- 11. Datos de escape - stripslashes, strip_tags
- 12. ¿La semilla de Ruby para OpenSSL :: Random es suficiente?
- 13. Crear una vista de formulario en Zend
- 14. mb_strlen() ¿es suficiente?
- 15. ¿cuál es la secuencia de escape para guión (-) en PostgreSQL
- 16. ¿Por qué la volatilidad no es suficiente?
- 17. Validación Django ImageField (¿es suficiente)?
- 18. Es una operación atómica suficiente
- 19. Descomposición en java, ¿cuándo es suficiente?
- 20. ¿LockModeType.PESSIMISTIC_WRITE es suficiente para un UPSERT en JPA?
- 21. sbt heapsize no es suficiente?
- 22. ¿Es suficiente HTTPS como la acción de la forma?
- 23. HTML5 + JS suficiente para la comunicación LAN?
- 24. Prevención de ataques XSS
- 25. ¿Qué es XSS basado en DOM?
- 26. ASP.NET MVC: ¿Es suficiente la validación de anotación de datos?
- 27. ¿Cuál es la lógica para permitir que `?` Se escape?
- 28. Zend Framework muestra la vista de otro controlador
- 29. zend view: bootstrap (vista) o bootstrap (diseño)
- 30. ¿Es suficiente UTF-8 para todos los idiomas comunes?