我们之前将 htmlpurifier 集成到了基于 LAMP 的产品中,但速度有点慢。最近,我们开启了 mod_security。这两个都是 OWASP 项目的一部分(最后我检查了 owasp 在内部使用了 htmlpurifer),所以我认为安全性是多余的。
你有什么建议?关闭 htmpurifier 是一个可行的选择吗?感谢您的任何回答。
问问题
348 次
1 回答
5
他们都做不同的事情。mod_security是黑名单。它涵盖了一些通用漏洞(其中包括 XSS、SQL 注入、目录遍历、url 注入等)和过去的应用程序错误,但可能更容易通过更复杂的编码和特定于应用程序的方法来规避过滤器。(它通常只是探测一些 URL 参数。)
HTMLPurifier实际上只涵盖了 HTML 清理,但它做得很好。这是一个白名单过滤器,因此根据定义更安全。这当然很慢。这就是为什么你应该只将它应用于传入的数据,而不是作为所有地方的通用过滤器。如果它减慢了您的应用程序,您可能会在错误的地方使用它。
于 2011-05-13T07:19:56.803 回答