5
我看到Kohana框架允許用戶選擇使用HTMLPurifier來對付任何可能的XSS攻擊。HTMLPurifier真的是防彈的嗎?
我認爲HTMLPurifier是爲了允許HTML的標準兼容輸出。
它是否有助於避免XSS攻擊100%或可能在很大程度上?或者你會建議別的。
感謝
A
回答
6
對於每一個可能的軟件,它不可能是完美的,而且總有一個風險,即有人的地方一天能找到一個安全漏洞,並利用它。
所以,沒有人會告訴你「它有助於避免XSS攻擊100%」 ......
但是,每一次我HTMLPurifier的頭,這是很大的術語 - 和我已經成功使用了它幾次,並將在未來的一些項目中再次使用它。
所以,我認爲「很可能在很大程度上」是你的答案;-)
相關問題
- 1. 保護一個wysiwyg編輯器 - HTMLPurifier真的是唯一的出路嗎?
- 2. 防止HTMLPurifier中的所有html標記
- 3. - 這是真的嗎?
- 4. 什麼是HTMLPurifier?
- 5. 防止SQL注入:mysql_real_escape_string()真的是我需要的嗎?
- 6. e.preventDefault()不是防彈的?
- 7. Inkscape的真空防護系統能讓SVG真正安全嗎?
- 8. 防止htmlpurifier移除變音符號
- 9. 防止HTMLPurifier轉換及郎成⟨
- 10. AngularJS真的是MVC嗎?
- 11. data-ajax =「false」是真的嗎?
- 12. 不是程序,真的嗎?
- 13. zlib是真實的嗎?
- 14. 在這裏「是真的」嗎?
- 15. IMFSampleGrabberSinkCallback真的是水槽嗎?
- 16. 這是真正的androidmanifest.xml嗎?
- 17. 什麼是「null:false」真的嗎?
- 18. Can obj.GetType()。IsInterface是真的嗎?
- 19. HTMLPurifier的Youtube
- 20. 是一個const HANDLE真的是const嗎?
- 21. HTMLPurifier的addElement語法
- 22. Htmlpurifier - 允許textarea的
- 23. 我需要在Codeigniter中使用HTMLpurifier嗎?
- 24. 在C#上寫的是真的嗎?
- 25. ReSTful webservice真的是我的答案嗎?
- 26. 防止騙子:它真的是移動設備,還是仿真器?
- 27. Javascript數組是真的數組嗎?
- 28. 它真的是一個activex控件嗎?
- 29. 變量是真實的東西嗎?
- 30. PHP SplHeap真的是一堆嗎?