Zend 视图中的 $this->escape() 是否足以应对 xss

Question

我在 zend 视图中做了很多 $this->escape() 。这足以防止 XSS 吗？

Zend Framework 之外还有 HTMLPurifier。我想知道 zend 的 $this->escape() 与 HTMLPurifier 相比如何。

Answer 1

escape 是 htmlspecialchars 的别名。它允许您输出纯文本，而 HTMLPurifier 允许您输出安全的 HTML。

纯文本不可能存在 XSS。

如果您想从用户输入（例如富文本编辑器）输出安全的 HTML，则必须使用 HTMLPurifier 而不是 strip_tags。

Answer 2

HTMLPurifier 有不同的用途。 HTMLPurifier 不会转义 HTML...好吧，不完全是。它需要您提供的配置来定义 HTML 中允许的内容和不允许的内容，并根据该配置进行清理。结果实际上仍然是 HTML，只是删除/清理了某些内容。

另一方面，escape() 将类似 HTML 的字符转换为 HTML 实体，以便它们在浏览器中呈现相同的字符，而不是被解释为 HTML（例如 & -> &, < -> <, > -> ; > 等等）。

不同的目标。

它能让您避免 XSS 问题吗？是的，但请确保您已正确配置字符编码。