我正在Codeigniter中开发CMS,目前正在为我的所有字段设置一些验证规则。
我启用了 XSS 过滤和 CSRF 保护。我也在使用活动记录。
内容字段允许HTML字符,但我不希望执行JS/PHP代码(XSS过滤会阻止这种情况吗?
有了我目前设置的保护,我仍然容易受到任何影响吗?我应该采取哪些预防措施?我应该采用哪些验证规则?
CI的XSS过滤器在Javascript事件不在脚本标记内时会错过它们。我不建议您关闭过滤器,但此外,您应该在输入后立即对数据进行编码,至少使用 PHP 内置函数,并在输出之前进行解码。
你需要
编写一个自定义回调函数来去除 php/js 标签。
http://codeigniter.com/user_guide/libraries/form_validation.html#callbacks