使用的是 yii1.1框架
<code> $req = Yii::app()->request;
$purifier = new CHtmlPurifier();
$purifier->options = array(
'URI.AllowedSchemes'=>array(
'http' => true,
'https' => true,
)
);
$url = $purifier->purify($req->getParam('url'));</code>所有的參數都使用 purify 過濾了。但是還是有這個漏洞。請問如何解決。有比較好的解放方案嗎
使用的是 yii1.1框架
<code> $req = Yii::app()->request;
$purifier = new CHtmlPurifier();
$purifier->options = array(
'URI.AllowedSchemes'=>array(
'http' => true,
'https' => true,
)
);
$url = $purifier->purify($req->getParam('url'));</code>所有的參數都使用 purify 過濾了。但是還是有這個漏洞。請問如何解決。有比較好的解放方案嗎
1 自訂方法 過濾常用xss攻擊標籤:script|iframe|image/Uis
2 設定方向考慮:設定httponly禁止取得cookie
3 服務方向:使用SSL協議,禁止載入外部js
