Yii下防守CSRF与XSS[一]

参考连接： http://blog.coinidea.com/web%E5%BC%80%E5%8F%91/php/yii-php-888.html

CSRF即跨站伪造请求，XSS即跨站脚本攻击，说实话我也是最近才第一次接触。

编写了一个Yii的网站，用测试软件（好比，IBM APP Scan）扫描以后发现比较多以及比较严重的两个问题，一个是CSRF，另外一个是XSS。

那么如何解决呢？

• CSRF

参考连接：http://www.crarun.com/article-7.html

Yii在配置文件中，支持csrf配置，一旦配置以后，会在表单中嵌入一个隐藏的value为hash key的token，服务器经过token验证当次请求是否被受权。

'components'=>array(
      'request'=>array(
          // Enable Yii Validate CSRF Token
          'enableCsrfValidation' => true,
      ),
  ),

实际上，由于我用的Yii框架版本比较低，因此在form表单中，框架并无为我本身建立input，因此被逼无奈，只能本身建立，插入一下代码便可：

<input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" />

另外一个问题来了，由于是fix csrf，前期考虑得不是很周详，可是整个系统中含有大量的ajax建立的post提交，这致使了不少js代码中含有post提交，可是Yii的view输出并不能影响到js的代码里面，即.js文件里面就算是加了上述代码，php也不会有任何输出。 此时我想了一个折中的办法： 在js的post提交中加入如下代码：

$("input[name='YII_CSRF_TOKEN']").val()

而后在php view里面加入隐藏的代码便可。 可是这也看出一个问题，这并不能完备的防止csrf，最优的解决办法，仍是应该将受权嵌入每一个用户的session中。

• XSS 在搜寻该问题的解决方案时，常常有人会问：在提交、保存、显示那个阶段作字符串过滤比较好。 在segmentfault上看到一我的的答案是，确认不可。一个防止入库，一个防止生效。 我认为， 首先提交时前端的用户验证必不可少，这会给用户一个比较好的体验。 可是服务器端的提交验证仍是必须作的，由于程序是能够绕过前端的。 最后，显示的时候作么？我建议作，这样更加的保险，防止问题生效。 如何作?Yii下本身提供了CHtml以及CHTMLPurity供作一些过滤工做。 在GitHub上有不少人开源一个前台比较好的库用于作过滤，just search it.

参考连接： http://blog.coinidea.com/web%E5%BC%80%E5%8F%91/php/yii-php-888.html