YII教程-XSS安全模式内容

作者：潮流时候男装 | 来源：互联网 | 2013-06-07 16:16

在这篇文章里，我们将描述一个基于WEB应用下避免不合法的内容注入。我们要在一个行为里使用htmlpurifier类，用这种行为可以加强任何模型并表明各属性我们想让它们XSS安全。

在这篇文章里，我们将描述一个基于WEB应用下避免不合法的内容注入。

我们要在一个行为里使用htmlpurifier类，用这种行为可以加强任何模型并表明各属性我们想让它们XSS安全。

我写了以下行为:

class CSafeContentBehavior extends CActiveRecordBehavior { public $attributes =array(); protected $purifier; function __construct(){ $this->purifier = new CHtmlPurifier; } public function beforeSave($event) { foreach($this->attributes as $attribute){ $this->getOwner()->{$attribute} = $this->purifier->purify($this->getOwner()->{$attribute}); } } }

把这个类放在你的应用程序目录，例如：application/behaviors/CSafeContentBehavior.php。现在你在模型的行为中这样去写：

class Post extends CActiveRecord { public function behaviors(){ return array( 'CSafeContentBehavor' => array( 'class' => 'application.behaviors.CSafeContentBehavior', 'attributes' => array('title', 'body'), ), ); }

现在我们可以开始了。我们的post模型在每个保存操作中将净化标题和内容列。

原文地址：http://www.yiiframework.com/wiki/67/xss-safe-model-content/

推荐阅读

io
绕过WAF的XSS检测机制及构建XSS payload的方法

本文介绍了绕过WAF的XSS检测机制的方法，包括确定payload结构、测试和混淆。同时提出了一种构建XSS payload的方法，该payload与安全机制使用的正则表达式不匹配。通过清理用户输入、转义输出、使用文档对象模型（DOM）接收器和源、实施适当的跨域资源共享（CORS）策略和其他安全策略，可以有效阻止XSS漏洞。但是，WAF或自定义过滤器仍然被广泛使用来增加安全性。本文的方法可以绕过这种安全机制，构建与正则表达式不匹配的XSS payload。 ... [详细]

蜡笔小新 2023-12-11 19:42:30
php
揭秘阿里云WAF背后神秘的AI智能防御体系

背景应用安全领域，各类攻击长久以来都危害着互联网上的应用，在web应用安全风险中，各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击而存在 ... [详细]

蜡笔小新 2023-12-11 01:30:52
php
互联网思维中的3个段子，9大分类和19条法则

本文介绍了互联网思维中的三个段子，涵盖了餐饮行业、淘品牌和创业企业的案例。通过这些案例，探讨了互联网思维的九大分类和十九条法则。其中包括雕爷牛腩餐厅的成功经验，三只松鼠淘品牌的包装策略以及一家创业企业的销售额增长情况。这些案例展示了互联网思维在不同领域的应用和成功之道。 ... [详细]

蜡笔小新 2023-12-10 14:58:10
php
浅解XXE与Portswigger Web Sec

XXE与PortswiggerWebSec相关链接：博客园安全脉搏FreeBufXML的全称为XML外部实体注入，在学习的过程中发现有回显的XXE并不多，而 ... [详细]

蜡笔小新 2023-10-17 16:52:48
cookie
跨站的艺术XSS Fuzzing 的技巧

作者|张祖优(Fooying)腾讯云云鼎实验室对于XSS的漏洞挖掘过程，其实就是一个使用Payload不断测试和调整再测试的过程，这个过程我们把它叫做F ... [详细]

蜡笔小新 2023-10-16 12:14:23
php
2月4日每日安全热点节日期间某企远程办公遭XRed攻击

2月4日每日安全热点节日期间某企远程办公遭XRed攻击 ... [详细]

蜡笔小新 2023-10-15 16:30:44
php
JVM（三）虚拟机栈多合一总述

虚拟机栈概述虚拟机栈出现背景：由于跨平台性的设计，Java的指令都是根据栈来设计的。不同CPU架构不同，所以不能设计为基于寄存器的跨平台的优点：指令集小，编译器容易实现，缺点是性能 ... [详细]

蜡笔小新 2023-10-15 15:47:54
char
南邮ctf-web的writeup

本文介绍了南邮ctf-web的writeup，包括签到题和md5 collision。在CTF比赛和渗透测试中，可以通过查看源代码、代码注释、页面隐藏元素、超链接和HTTP响应头部来寻找flag或提示信息。利用PHP弱类型，可以发现md5('QNKCDZO')='0e830400451993494058024219903391'和md5('240610708')='0e462097431906509019562988736854'。 ... [详细]

蜡笔小新 2023-12-13 10:58:55
php
CentOS 7部署KVM虚拟化环境之一架构介绍

本文介绍了CentOS 7部署KVM虚拟化环境的架构，详细解释了虚拟化技术的概念和原理，包括全虚拟化和半虚拟化。同时介绍了虚拟机的概念和虚拟化软件的作用。 ... [详细]

蜡笔小新 2023-12-12 21:38:57
php
PDF内容编辑的两种小方法，你知道怎么操作吗？

本文介绍了两种PDF内容编辑的方法：迅捷PDF编辑器和Adobe Acrobat DC。使用迅捷PDF编辑器，用户可以通过选择需要更改的文字内容并设置字体形式、大小和颜色来编辑PDF文件。而使用Adobe Acrobat DC，则可以通过在软件中点击编辑来编辑PDF文件。PDF文件的编辑可以帮助办公人员进行文件内容的修改和定制。 ... [详细]

蜡笔小新 2023-12-12 19:37:50
php
介绍一个免费的具备数据显示/录入/更新/删除功能的asp.net控件

本文介绍了一个免费的asp.net控件，该控件具备数据显示、录入、更新、删除等功能。它比datagrid更易用、更实用，同时具备多种功能，例如属性设置、数据排序、字段类型格式化显示、密码字段支持、图像字段上传和生成缩略图等。此外，它还提供了数据验证、日期选择器、数字选择器等功能，以及防止注入攻击、非本页提交和自动分页技术等安全性和性能优化功能。最后，该控件还支持字段值合计和数据导出功能。总之，该控件功能强大且免费，适用于asp.net开发。 ... [详细]

蜡笔小新 2023-12-11 09:41:26
php
计算机睡眠能远程吗,远程服务器可以睡眠吗

弹性云服务器ECS弹性云服务器(ElasticCloudServer)是一种可随时自助获取、可弹性伸缩的云服务器，帮助用户打造可靠、安全、灵活、高效的应用环境 ... [详细]

蜡笔小新 2023-10-17 15:48:57
io
zuul 路由不生效_Zuul网关到底有何牛逼之处？竟然这么多人在用~

作者：kosamino来源：cnblogs.comjing99p11696192.html哈喽，各位新来的小伙伴们，大家好& ... [详细]

蜡笔小新 2023-10-17 14:51:06
version
03Spring使用注解方式注入

基于注解的DI注入1.导包环境搭建：导入aop包（spring-aop-4.1.6.RELEASE.jar）2.创建类3.创建spring.xml配置文件（必须在src目录下）该配 ... [详细]

蜡笔小新 2023-10-17 11:53:29
php
通过存储型XSS漏洞获取目标用户本地私钥信息

运维|安全存储型XSS漏洞,目标用户,本地,私钥信息运维-安全舍得网源码,vscode代码检查工具,ubuntu壁纸修改,tomcat网页部署项目,爬虫枯木,php采集文件,马鞍山 ... [详细]

蜡笔小新 2023-10-14 18:07:34

潮流时候男装

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章