PHP ha un'API XSS?

4

ASP.NET ha un'API cross-site scripting per impostazione predefinita, tuttavia PHP ha un'API di prevenzione degli script cross-site?

    
posta Sky 11.02.2014 - 23:52
fonte

3 risposte

10

ASP.NET non fornisce un'API XSS. Sospetto che tu stia parlando di Convalida della richiesta che è una funzionalità in ASP.NET che ispeziona le richieste HTTP e cerca input potenzialmente pericolosi. Per quanto ne so, PHP non offre nulla di simile.

Sebbene la convalida delle richieste possa essere un vantaggio impedendo determinati tipi di attacchi XSS, non è un sostituto per proteggere adeguatamente un'applicazione dalle vulnerabilità XSS. Questo può essere pericoloso perché assilla gli sviluppatori in un falso senso di sicurezza. Oltre a ciò, la convalida della richiesta può essere disabilitata, quindi se ci si basa su di essa per la protezione XSS e poi qualcun altro la disabilita, si è in grossi problemi.

C'è un buon post qui che parla di alcuni dei difetti di convalida delle richieste in ASP.NET.

Quindi, in sintesi: non esiste un equivalente PHP della convalida della richiesta di ASP.NET e non dovresti fare affidamento sulla convalida della richiesta per proteggerti comunque da XSS.

    
risposta data 12.02.2014 - 00:36
fonte
1

Ho usato HTML Purifier e sono stato abbastanza soddisfatto.

link

Tuttavia, non ho eseguito test estesi / avanzati su di esso. I tentativi di XSS di base vengono scoperti, il sito Web sembra mostrare che il maintainter ha un talento per questa cosa quindi presumo che non sia un progetto fasullo. Se qualcuno qui è d'accordo, per favore fammelo sapere.

    
risposta data 20.11.2014 - 00:14
fonte
0

C'è API OWASP Enterprise Security che ha un php versione .

Altrimenti, vi è l'approccio firewall per applicazioni web in cui si utilizza qualcosa come PHPIDS o mod_security può fermare alcuni degli attacchi.

    
risposta data 19.11.2014 - 22:28
fonte

Leggi altre domande sui tag