Yii2 Html净化防止xss攻击,求大神解释如下代码?

Yii2 Html净化防止xss攻击,求大神解释如下代码?,第1张

确保所有输出内容都经过 HTML 编码。禁止用户提供的文本进入任何 HTML 元素属性字符串。根据 msdn.microsoft.com/library/3yekbd5b 中的概述,检查 Request.Browser,以阻止应用程序使用 Internet Explorer 6。了解控件的行为以及其输出是否经过 HTML 编码。如果未经过 HTML 编码,则对进入控件的数据进行编码。使用 Microsoft 防跨站点脚本库 (AntiXSS) 并将其设置为您的默认 HTML 编码器。在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。对于 Web 窗体,不要在网页中设置 EnableRequestValidation=false。遗憾的是,Web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的,例如,如果向服务器发送回“<X”之类的字符组合,该设置将阻止请求。如果您的控件将 HTML 发送回服务器并收到图 5 所示的错误,那么理想情况下,您应该在将数据发布到服务器之前对数据进行编码。这是 WYSIWYG 控件的常见情形,现今的大多数版本都会在将其 HTML 数据发布回服务器之前对该数据进行正确编码。对于 ASP.NET MVC 3 应用程序,当您需要将 HTML 发布回模型时,不要使用 ValidateInput(false) 来关闭请求验证。只需向模型属性中添加 [AllowHtml] 即可,如下所示:

yii controller和action是对应的,每一个界面的显示基本就是一个controller里面的action然后引用的视图,你在这里面使用CHtml输出了一个按钮,首先你要明确你这个按钮是想要做什么 *** 作,是form提交呢?还是?form提交的话使用$this->widgets('CAcriveFrom',array(form属性))这个方法创建form表单,这个form表单默认提交的地方就是当前显示这个视图的controller和action,当让你也可以在array里面进行设定提交到别的表单里面去。如果是使用JS链接跳转或者ajax事件等,只需要指定对应的controller和action即可!

Yii2.0重写了1.x的东西,不再有Cxxx的类了,不过有相同的类,只是名字不一样而已,比如Html

使用的时候use 导入这个Html的类就可以了,用法基本一致(详情看官方文档)


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/7429131.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-05
下一篇 2023-04-05

发表评论

登录后才能评论

评论列表(0条)

保存