去年一客户的DZ3.2论坛(他装了很多插件)遭受XSS,帮他改插件发现插件接受的参数都已strip_tags,htmlspecialchars处理,还是遭受XSS,不熟悉DZ,找了这个AntiXSS上去,过滤了全部插件表单、Cookie及URL Query参数,XSS至少这几个月是消停了,公网上交互多的项目字符串参数过滤要重视,打算把已上线的项目都做下全局处理,分享给大家参考:
Github https://github.com/voku/anti-xss
DEMO http://anti-xss-demo.suckup.de/
支持 composer
最佳答案
