我正在使用HTML净化器保护我的应用程序免受XSS攻击。目前我正在从WYSIWYG编辑器中净化内容,因为这是唯一允许用户使用XHTML标记的地方。
我的问题是,我应该在登录认证系统的用户名和密码上(或者在注册页面的输入字段上,如电子邮件、姓名、地址等)使用HTML净化器吗?有没有可能发生XSS攻击?
最佳答案
你应该净化任何可能出现在页面上的东西。因为有了XSS攻击,黑客会放置<script>
标签或其他可以链接到其他站点的恶意标签。
密码和电子邮件应该没问题。永远不应该显示密码,电子邮件应该有自己的验证器,以确保它们的格式正确。
最后,始终记住在内容上放入htmlEntities()。
哦。。也可以看一下filter_var过滤变量的好方法。