Codeigniter - Deaktiviert XSS-Filterung auf Postbasis

Ich versuche zum einrichten eines CMS auf dem Rücken der Website aber immer wenn post-Daten hat eine <a href=... es in die post-Daten bekommt verschrottet.

Habe ich $config['global_xss_filtering'] = TRUE; im config

Meine Frage gibt es eine Möglichkeit der Deaktivierung von xss-filtern für einen Punkt?

z.B.

$this->input->post('content', true); - es anmacht, aber wie kann man Sie ausschalten?

Danke an alle.

PVS

Kommentar zu dem Problem
danke Mann verbringen 2 Stunden.Ich hatte Problem beim speichern base64-Bilder durch ckeditor.XSS-Filterung falsch war, aber es stimmt, in der config-Datei von meinem Kollegen Kommentarautor: mokNathal
überprüfen Sie in diesem blog - tekina.info/xss-filtering-ckeditor Kommentarautor: Aniket Singh

InformationsquelleAutor der Frage Von Schmytt | 2010-09-24

  1. 27

    Wenn Sie möchten, ändern Sie die Standard-Verhalten der post() - Methode, können Sie erweitern den core-Eingang Bibliothek, oder wenn Sie faul sind, können Sie nur ändern, line 278 (oder so) der Eingang der Bibliothek, um zu Lesen:

    /**
* Fetch an item from the POST array
*
* @access   public
* @param    string
* @param    bool
* @return   string
*/
function post($index = '', $xss_clean = TRUE)
{
    return $this->_fetch_from_array($_POST, $index, $xss_clean);
}

    Der einzige Unterschied hier ist, dass ich geändert habe, die $xss_clean variable TRUE statt FALSE. Jetzt können Sie ausschalten, Globale XSS-Filterung und es wird automatisch ein filter Eingänge, es sei denn, Sie geben Sie false als zweiten parameter in der Aufruf der Input-library post() Methode. Nur eine Methode ist unten die get() Methode, und Sie können ändern, die in der gleichen Weise.

    Allerdings, wenn ich du wäre, würde ich nur die Erweiterung der nativen Bibliothek, weil es eine gute chance, dass Sie vergessen haben, die dieser durch die Zeit, die Sie aktualisieren, CodeIgniter, und dann werden Sie sich plötzlich Fragen, warum Sie immer sind XSS-Angriffen. Das würde dann so Aussehen:

    class MY_Input extends CI_Input {

    function My_Input()
    {
        parent::CI_Input();
    }

    function post($index = '', $xss_clean = TRUE)
    {
        return parent::post($index, $xss_clean);
    }
}

    Erfahren Sie mehr über das erweitern von Bibliotheken hier:

    http://codeigniter.com/user_guide/general/creating_libraries.html

    InformationsquelleAutor der Antwort treeface

  2. 6

    Wenn Sie möchten, um Globale xss_clean aktiviert und überschreiben nur auf bestimmte Fälle, können Sie erweitern die Eingabe-Bibliothek zu halten, ein Klon von $_POST für die Bereitstellung von raw-Daten, wenn Sie gefragt werden:

    <?php if (!defined('BASEPATH')) exit('No direct access allowed.');
class MY_Input extends CI_Input {

public function __construct() {
    $this->_POST_RAW = $_POST; //clone raw post data 
    parent::__construct(); 
}

public function post($index = null, $xss_clean = TRUE) { 
    if(!$xss_clean){ //if asked for raw post data -eg. post('key', false)-, return raw data. Use with caution.
        return $this->_POST_RAW[$index];
    }
    return parent::post($index, $xss_clean); 
    }
}
?>

    Diese Weise können Sie $this->input->post('mydata', FALSE) abrufen un-sanitized raw post-Daten, auch wenn xss_clean ist Global aktiviert.

    InformationsquelleAutor der Antwort user2966084

  3. 1

    definierte ich 

    global $mypost;
$mypost=$_POST;

    in index.php meiner root-cms

    dann dort, wo ich die globalen Variablen wie

    global $mypost;

$var=isset($mypost["field"])? $mypost["field"]:"";

    Wann immer ich Sie benötige post ohne filter.

    arbeitete für mich, hoffe es hilft.

    InformationsquelleAutor der Antwort muhammad

  4. 1

    In meinem Fall, treeface die Lösung nicht funktioniert, aber ich fand einen anderen Weg. Ich machte MY_Input mit
    _sanitize_globals() und ich fügte hinzu, wenn der Bau im Ort ist die Desinfektion der post-Daten.

    //Clean $_POST Data
if (is_array($_POST) AND count($_POST) > 0) {
    foreach ($_POST as $key => $val) {
        if($this->_clean_input_keys($key) != 'my_none_sanitize_field')
        $_POST[$this->_clean_input_keys($key)] = $this->_clean_input_data($val);
    }
}

    InformationsquelleAutor der Antwort Tomek

  5. 0

    Ja, die Erweiterung Eingang mit der post-Methode Ersatz sehr nützlich war, wie der aufmerksame Leser bemerken, dass es sein sollte return parent::post($index, $xss_clean). Ich wurde immer Fehler und glaube nicht, dass offensichtliche Fehler. Fixiert es und ich bin Weg und ausgeführt.

    Verwenden wir es, um zu entkommen-post-Daten für die Verwendung in sql-Anweisungen. Obwohl die CI-db-Methoden sind nett, wir haben einige große sql-Anweisungen, die sind leichter zu code von hand.

    InformationsquelleAutor der Antwort Zac Imboden

  6. 0

    arbeiten mit CI 2.2 ich denke, dass die Lösung von treeface verlassen input->get(), input->cookie() usw nicht xss_cleaned. (wir verwenden, erhalten Sie in der oauth-Anfragen etc.). Der global config ändern, hält Sie Sie mit Escapezeichen versehen, indem Sie den Konstruktor und die core-Klasse noch Standardwerte xss_clean auf FALSE, auf diese Methoden...

    Ich habe im Grunde implementiert der gleichen Lösung über mehrere Methoden.

    class MY_Input extends CI_Input {

    /* fixes to allow xss_clean to be disabled on a per field basis
    * [ e.g. tinymce html content with style /class /event attributes ]
    * initial ref : http://stackoverflow.com/questions/3788476/codeigniter-disable-xss-filtering-on-a-post-basis
    * this is based on CI 2.2
    * the above (stackoverflow) solution only updates the post method - which means all the rest ( get, get_post, cookie, server, request_headers, get_request_header)
    * NB : we need GET to allow oauth type activities !
    *
    *   1 - change the global config to xss_clean = false [ otherwise the constructor will 'xss_clean' everything before we have a chance to say no ! ]
    *   2 - make all of methods that take the xss_clean parameter use TRUE as default value
    *   3 - we can now pass the second parameter in as FALSE if we do not want to xss_clean
    */

    function get($index = '', $xss_clean = TRUE)
    {
        return parent::get($index, $xss_clean);
    }

    function post($index = '', $xss_clean = TRUE)
    {
        return parent::post($index, $xss_clean);
    }

    function get_post($index = '', $xss_clean = TRUE)
    {
        return parent::get($index, $xss_clean);
    }

    function cookie($index = '', $xss_clean = TRUE)
    {
        return parent::cookie($index, $xss_clean);
    }

    function server($index = '', $xss_clean = TRUE)
    {
        return parent::server($index, $xss_clean);
    }

    function request_headers($xss_clean = TRUE)
    {
        return parent::request_headers($xss_clean);
    }

    function get_request_header($index, $xss_clean = TRUE)
    {
        return parent::get_request_header($index, $xss_clean);
    }

}

    hoffe, dies hilft jemand

    InformationsquelleAutor der Antwort pugelarouge

  7. -4

    können Sie vorübergehend ausschalten,

    $this->config->set_item('global_xss_filtering', false);

    $c = $this->input->post('content');
    dann schalten Sie es wieder auf..

    $this->config->set_item('global_xss_filtering', true);

    InformationsquelleAutor der Antwort Johnny Tops

Schreibe einen Kommentar