ZendFramework로 작성된 거대한 응용 프로그램이 있습니다. 이전에는 모든 것이 좋았습니다. 지금은 재 설계되었고 많은 새로운 기능과 옵션을 받았지만 xss에서이 소프트웨어를 방어해야합니다. 변수는 몇 소스 (webform, Webservices, api 등)에서 가져 왔으며 일부는 이스케이프 처리해야하며 일부는 이스케이프 처리해야합니다. 모든 웹 사이트 (2 000 +)를 편집하지 않고 모든 에코를 이스케이프 처리하지 않고 웹 사이트를 보호하는 가장 좋은 방법은 무엇이라고 생각하십니까?[Zend] 거대한 프로젝트의 변수 필터링
젠드 프레임 워크에는 "Zend_Filter"라는 클래스가 있습니다. 이 클래스에는 주어진 문자열에서 모든 태그를 제거하는 "StripTags"필터 옵션이 있습니다. 당신이주의 경우
http://framework.zend.com/manual/en/zend.filter.set.html#zend.filter.set.striptags
, 심지어 스트립 태그 필터는 당신이 뭔가를 제외하면 입력을 살균하지 않는 것이 좋습니다 XSS 공격으로부터 방어하기 위해 사용해서는 안됩니다. Tidy 또는 HTMLPurifier를 사용하는 것이 좋습니다.
http://tidy.sourceforge.net/ 나는 HTML 정수기 사용하기 아주 쉽게 생각합니다. 자신의 문서 웹 사이트에서 :
require_once '/path/to/HTMLPurifier.auto.php';
$ config = HTMLPurifier_Config :: createDefault(); $ purifier = new HTMLPurifier ($ config); $ clean_html = $ purifier-> purify ($ dirty_html);
나는 도움이 되길 바랍니다.
건배!