PHP7中文手册2018 带注释 最新chm版
跨站脚本攻击(也称为 XSS)出现在当一个网络应用收集来自用户的恶意数据时。 攻击者常常向易受攻击的web应用注入JavaScript,VBScript,ActiveX,HTML或 Flash来愚弄其他用户并收集他们的信息,CHtmlPurifier组件可以作为一个widget或者filter来使用。 当作为一个widget来使用的时候,CHtmlPurifier可以对在视图中显示的内容进行安全过滤。
<?php $this->beginWidget('CHtmlPurifier'); ?>
<strong>abc</strong>
<a href="#">test</a>
<script type="text/javascript">
<!--
function test(){
alert('abc');
}
test();
//-->
</script>
<?php $this->endWidget(); ?>
上面代码中的js代码将会被删除。
跨站请求伪造(简称CSRF)攻击,即攻击者在用户浏览器在访问恶意网站的时候,让用户的浏览器向一个受信任的网站发起攻击者指定的请求。
打开CHttpRequest中的enableCsrfValidation,protected\config\main.php,
'components'=>array(
'request'=>array(
'enableCsrfValidation'=>true,
),
)
在创建表单的时候用CActiveForm。
Cookie攻击的防范:
'components'=>array(
'request'=>array(
'enableCookieValidation'=>true,
),
),
转载请注明:谷谷点程序 » Yii安全措施防xss的实现方法