Sto leggendo le Linee guida per la codifica sicura di Mozilla e ho trovato questa affermazione:
Don't trust any user data (input, headers, cookies etc). Validate it before using it
Sto usando il framework codeigniter e sto usando le seguenti (principalmente funzioni built-in) per input e cookie:
Ingressi
- il filtro xss globale è impostato su TRUE
- La protezione CSRF è impostata su abilitata
Cookie
- i cookie sono contrassegnati come sicuri
- i cookie sono segnalati HTTPOnly I
- cookie sono criptati
intestazioni . Questo è dove mi imbatto in un problema. Come proteggi il mio sito dall'iniezione di intestazione? Non sono stato in grado di capirlo.
Inoltre, mentre convalido gli input dell'utente come le password, ecc., mi chiedo se ci sia qualche altro tipo di convalida che deve essere fatto?