作者:sunci99_652 | 来源:互联网 | 2013-06-19 08:56
跨站脚本攻击(也称为XSS)出现在当一个网络应用收集来自用户的恶意数据时。攻击者常常向易受攻击的web应用注入JavaScript,VBScript,ActiveX,HTML或Flash来愚弄其他用户并收集他们的信息,CHtmlPurifier组件可以作为一个widget或者filter来使用。当作为一个wid
跨站脚本攻击(也称为 XSS)出现在当一个网络应用收集来自用户的恶意数据时。 攻击者常常向易受攻击的web应用注入Javascript,Vbscript,ActiveX,HTML或 Flash来愚弄其他用户并收集他们的信息,CHtmlPurifier组件可以作为一个widget或者filter来使用。 当作为一个widget来使用的时候,CHtmlPurifier可以对在视图中显示的内容进行安全过滤。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
beginWidget('CHtmlPurifier'); ?>
abc
endWidget(); ?>
|
上面代码中的js代码将会被删除。
跨站请求伪造(简称CSRF)攻击,即攻击者在用户浏览器在访问恶意网站的时候,让用户的浏览器向一个受信任的网站发起攻击者指定的请求。
打开CHttpRequest中的enableCsrfValidation,protected\config\main.php,
|
1
2
3
4
5
|
'components'=>array(
'request'=>array(
'enableCsrfValidation'=>true,
),
)
|
在创建表单的时候用CActiveForm。
COOKIE攻击的防范:
|
1
2
3
4
5
|
'components'=>array(
'request'=>array(
'enableCOOKIEValidation'=>true,
),
),
|
京公网安备 11010802041100号