크로스 사이트 스크립팅 (XSS) 공격으로부터 YII 응용 프로그램을 보호하려면 여러 계층의 보안 조치를 구현해야합니다. 다음은 응용 프로그램을 보호하기위한 몇 가지 주요 전략입니다.
safe 하고 filter 유효성 검사기를 사용하여 입력을 소독 할 수 있습니다.Html::encode() 와 같은 도우미에게 특수 문자를 피하기 위해 HTML 또는 JavaScript로 해석되는 것을 방지합니다.X-Content-Type-Options , X-Frame-Options 및 X-XSS-Protection 와 같은 보안 헤더를 사용하여 브라우저 보안 설정을 향상시킵니다.이러한 관행을 결합하면 YII 응용 프로그램의 XSS 공격에 대한 취약성을 크게 줄일 수 있습니다.
YII에서 강력한 입력 검증을 구현하는 것은 XSS 취약점을 방지하는 데 중요합니다. 모범 사례는 다음과 같습니다.
YII의 유효성 검사 규칙을 사용하십시오 : 데이터 무결성을 시행하기 위해 모델에서 YII의 내장 검증 규칙을 활용하십시오. 일반적인 규칙에는 required , string , number , email 및 url 포함됩니다. 예를 들어:
<code class="php">public function rules() { return [ [['username'], 'required'], [['username'], 'string', 'max' => 255], [['email'], 'email'], ]; }</code>trim , strip_tags 또는 사용자 정의 필터와 같은 다양한 필터를 적용하는 데 사용할 수있는 filter 유효성 검사기를 제공합니다.정규 표현식 : 입력 검증에 대한보다 세분화 된 제어를 위해 정규 표현식을 활용합니다. 예를 들어, 사용자 이름을 확인하려면 :
<code class="php">public function rules() { return [ [['username'], 'match', 'pattern' => '/^[a-zA-Z0-9_] $/'], ]; }</code>이러한 관행을 준수함으로써 YII의 입력을 효과적으로 검증하고 XSS 취약점의 위험을 줄일 수 있습니다.
YII에서 출력 인코딩 구현은 XSS 공격에 대한 보호에 중요합니다. 당신이 할 수있는 방법은 다음과 같습니다.
html :: encode () : Html::encode() 메소드를 사용하여 html로 렌더링되는 출력을 인코딩합니다. 이 방법은 특수 문자를 HTML 엔티티로 변환하여 브라우저가 코드로 해석하는 것을 방지합니다.
<code class="php">echo Html::encode($userInput);</code>
HTMLPURIFIER 확장 :보다 강력한 HTML 출력 소독의 경우 HTMLPURIFIER 확장을 사용할 수 있습니다. 이 연장은 컨텐츠를 안전하게 유지하면서 악성 HTML을 제거 할 수 있습니다.
<code class="php">use yii\htmlpurifier\HtmlPurifier; $purifier = new HtmlPurifier(); echo $purifier->process($userInput);</code>
JSON 인코딩 : JSON 데이터를 출력 할 때는 JSON_HEX_TAG 및 JSON_HEX_AMP 옵션을 사용하여 Json::encode() 사용하여 JSON 응답에서 XSS를 방지하십시오.
<code class="php">use yii\helpers\Json; echo Json::encode($data, JSON_HEX_TAG | JSON_HEX_AMP);</code>
속성 인코딩 : html 속성의 경우 Html::encode() 또는 Html::attributeEncode() 와 같은 특정 속성 인코더를 사용하여 안전한 속성 값을 보장합니다.
<code class="php">echo '<input type="text" value="' . Html::encode($userInput) . '">';</code>
CSP 헤더 : 인코딩 외에도 컨텐츠 보안 정책 헤더 구현은 실행 가능한 스크립트 소스를 제한하여 XSS로부터 더욱 보호 할 수 있습니다.
<code class="php">Yii::$app->response->headers->add('Content-Security-Policy', "default-src 'self'; script-src 'self' 'unsafe-inline';");</code>이러한 출력 인코딩 기술을 지속적으로 적용하면 XSS 공격에 대한 YII 응용 프로그램의 보안을 크게 향상시킬 수 있습니다.
예, 여러 YII 확장은 XSS 공격에 대한 보안을 향상시키는 데 도움이 될 수 있습니다. 다음은 주목할만한 것들입니다.
YII2-HTMLPURIFIER :이 확장은 HTML 정화기를 YII 응용 프로그램에 통합합니다. HTML Purifier는 안전한 콘텐츠를 보존하면서 악성 코드를 제거하기 위해 HTML 입력을 소독 할 수있는 강력한 라이브러리입니다.
<code class="php">composer require --prefer-dist yiidoc/yii2-htmlpurifier</code>
YII2- 보안 :이 확장은 XSS 필터링, CSRF 보호 및 고급 보안 헤더를 포함한 추가 보안 기능을 제공합니다.
<code class="php">composer require --prefer-dist mihaildev/yii2-elasticsearch</code>
YII2-CSRF :이 확장은 YII의 내장 CSRF 보호를 향상시켜보다 강력하고 구성 가능합니다.
<code class="php">composer require --prefer-dist 2amigos/yii2-csrf</code>
YII2-CSP :이 확장은 YII 애플리케이션에서 컨텐츠 보안 정책 헤더 구현 및 관리에 도움이되므로 스크립트 소스를 제한하여 XSS로부터 더욱 보호 할 수 있습니다.
<code class="php">composer require --prefer-dist linslin/yii2-csp</code>
YII2-Secure-Headers :이 확장자는 X-XSS-Protection 및 Content-Security-Policy 과 같은 XSS 공격을 완화 할 수있는 것들을 포함하여 응용 프로그램에 보안 헤더를 추가합니다.
<code class="php">composer require --prefer-dist wbraganca/yii2-secure-headers</code>
이러한 확장을 YII 응용 프로그램에 통합하면 XSS 공격에 대한 방어를 강화하고 전반적인 보안을 향상시킬 수 있습니다.
위 내용은 XSS (Cross-Site Scripting) 공격으로부터 YII 애플리케이션을 어떻게 보호 할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
