Firmamız müşteri için bir web sitesi yaptı. Istemci ürün lansmanları önce güvenlik için sayfaları test etmek için bir ağları güvenlik şirketi kiraladı.

Biz XSS sorunların çoğunu kaldırdık. Biz Zend ile web sitesi geliştirildi. Biz sipariş formu elemanları striptags, StringTrim ve htmlentitiesi filtreleri ekleyin.

Onlar başka bir testi koştu ve hala başarısız oldu: (

Onlar http başlığının veri bir giriş alanı için kullanılan şu: name=%3Cscript%3Ealert%28123%29%3C%2Fscript%3E hangi temelde name=<script>alert(123);</script> çevirir

Ben% kaldırarak XSS açığı (dokunmatik ahşap) giderir alanların, bazı alfa ve alnum ekledik, ancak, şimdi patron bunu sevmiyorum çünkü O'Brien ve çift namlu soyadı ne .. .

Ben% 3C rastlamak değil < XSS hakkında okuma sorunu. Benim html karakter kümesi veya kodlaması falan yanlış bir şey var mı?

Herhalde şimdi özel bir filtre yazmak zorunda, ama bu her web sitesi ve dağıtım ile bunu yapmak için büyük bir acı olurdu. Lütfen yardım edin, bu gerçekten sinir bozucu.

EDIT: if it's about escaping the form's output, how do I do that? The form submits to the same page - how do I escape if I only have in my view <?= $this->form ?>

How can I get Zend Form to escape it's output?