同时拥有 mod_security 和 htmlpurifier 是不是太过分了？

Question

我们之前已将 htmlpurifier 集成到基于 LAMP 的产品中，但速度有点慢。最近，我们开启了 mod_security。这两个都是 OWASP 项目的一部分（我上次检查时 owasp 在内部使用了 htmlpurifer），所以我认为安全性是多余的。

你有什么建议？关闭 htmpurifier 是一个可行的选择吗？感谢您的任何答复。

Answer 1

他们都做不同的事情。 mod_security 是黑名单。它涵盖了一些通用漏洞（其中包括 XSS、SQL 注入、目录遍历、URL 注入等）和过去的应用程序错误，但可能更容易通过更复杂的编码和特定于应用程序的方法来规避过滤器。 （它通常只是探测某些网址参数。）

HTMLPurifier实际上只涉及 HTML 清理，但它做得相当好。它是一个白名单过滤器，因此根据定义更安全。当然很慢。这就是为什么您应该只将其应用于传入数据，而不是作为所有内容和任何地方的通用过滤器。如果它减慢了你的应用程序的速度，你可能会在错误的地方使用它。