ASP.NET ha un'API cross-site scripting per impostazione predefinita, tuttavia PHP ha un'API di prevenzione degli script cross-site?
ASP.NET non fornisce un'API XSS. Sospetto che tu stia parlando di Convalida della richiesta che è una funzionalità in ASP.NET che ispeziona le richieste HTTP e cerca input potenzialmente pericolosi. Per quanto ne so, PHP non offre nulla di simile.
Sebbene la convalida delle richieste possa essere un vantaggio impedendo determinati tipi di attacchi XSS, non è un sostituto per proteggere adeguatamente un'applicazione dalle vulnerabilità XSS. Questo può essere pericoloso perché assilla gli sviluppatori in un falso senso di sicurezza. Oltre a ciò, la convalida della richiesta può essere disabilitata, quindi se ci si basa su di essa per la protezione XSS e poi qualcun altro la disabilita, si è in grossi problemi.
C'è un buon post qui che parla di alcuni dei difetti di convalida delle richieste in ASP.NET.
Quindi, in sintesi: non esiste un equivalente PHP della convalida della richiesta di ASP.NET e non dovresti fare affidamento sulla convalida della richiesta per proteggerti comunque da XSS.
Ho usato HTML Purifier e sono stato abbastanza soddisfatto.
Tuttavia, non ho eseguito test estesi / avanzati su di esso. I tentativi di XSS di base vengono scoperti, il sito Web sembra mostrare che il maintainter ha un talento per questa cosa quindi presumo che non sia un progetto fasullo. Se qualcuno qui è d'accordo, per favore fammelo sapere.
C'è API OWASP Enterprise Security che ha un php versione .
Altrimenti, vi è l'approccio firewall per applicazioni web in cui si utilizza qualcosa come PHPIDS o mod_security può fermare alcuni degli attacchi.
Leggi altre domande sui tag php asp.net web-application