1. 跨站腳本***的防範
跨站腳本***(簡稱 XSS),即web應用從用戶收集用戶數據。 ***者常常向易受***的web應用注入JavaScript,VBScript,ActiveX,HTML或 Flash來迷惑訪問者以收集訪問者的信息。 舉個例子,一個未經良好設計的論壇系統可能不經檢查就顯示用戶所輸入的內容。 ***者可以在帖子內容中注入一段惡意的JavaScript代碼。 這樣,當其他訪客在閱讀這個帖子的時候,這些JavaScript代碼就可以在訪客的電腦上運行了。
一個防範XSS***的最重要的措施之一就是:在顯示用戶輸入的內容之前進行內容檢查。 比如,你可以對內容中的HTML進行轉義處理。但是在某些情況下這種方法就不可取了,因爲這種方法禁用了所有的HTML標籤。
Yii集成了HTMLPurifier並且爲開發者提供了一個很有用的組件CHtmlPurifier, 這個組件封裝了HTMLPurifier類。它可以將通過有效的審查、安全和白名單功能來把所審覈的內容中的所有的惡意代碼清除掉,並且確保過濾之後的內容過濾符合標準。
CHtmlPurifier組件可以作爲一個widget或者filter來使用。 當作爲一個widget來使用的時候,CHtmlPurifier可以對在視圖中顯示的內容進行安全過濾。 以下是代碼示例:
<?php $this->beginWidget('CHtmlPurifier'); ?>//...這裏顯示用戶輸入的內容...<?php $this->endWidget(); ?>2. 跨站請求僞造***的防範
跨站請求僞造(簡稱CSRF)***,即***者在用戶瀏覽器在訪問惡意網站的時候,讓用戶的瀏覽器向一個受信任的網站發起***者指定的請求。 舉個例子,一個惡意網站有一個圖片,這個圖片的src地址指向一個銀行網站:http://bank.example/withdraw?transfer=10000&to=someone。 如果用戶在登陸銀行的網站之後訪問了這個惡意網頁,那麼用戶的瀏覽器會向銀行網站發送一個指令,這個指令的內容可能是“向***者的帳號轉賬10000元”。 跨站***方式利用用戶信任的某個特定網站,而CSRF***正相反,它利用用戶在某個網站中的特定用戶身份。
要防範CSRF***,必須謹記一條:GET請求只允許檢索數據而不能修改服務器上的任何數據。 而POST請求應當含有一些可以被服務器識別的隨機數值,用來保證表單數據的來源和運行結果發送的去向是相同的。
Yii實現了一個CSRF防範機制,用來幫助防範基於POST的***。 這個機制的核心就是在cookie中設定一個隨機數據,然後把它同表單提交的POST數據中的相應值進行比較。
默認情況下,CSRF防範是禁用的。如果你要啓用它,可以編輯應用配置 中的組件中的CHttpRequest部分。
代碼示例:
return array( 'components'=>array( 'request'=>array( 'enableCsrfValidation'=>true, ), ),);
要顯示一個表單,請使用CHtml::form而不要自己寫HTML代碼。因爲CHtml::form可以自動地在表單中嵌入一個隱藏項,這個隱藏項儲存着驗證所需的隨機數據,這些數據可在表單提交的時候發送到服務器進行驗證。
3. Cookie***的防範
保護cookie免受***是非常重要的。因爲session ID通常存儲在Cookie中。 如果***者竊取到了一個有效的session ID,他就可以使用這個session ID對應的session信息。
這裏有幾條防範對策:
您可以使用SSL來產生一個安全通道,並且只通過HTTPS連接來傳送驗證cookie。這樣***者是無法解密所傳送的cookie的。
設置cookie的過期時間,對所有的cookie和seesion令牌也這樣做。這樣可以減少被***的機會。
防範跨站代碼***,因爲它可以在用戶的瀏覽器觸發任意代碼,這些代碼可能會泄露用戶的cookie。
在cookie有變動的時候驗證cookie的內容。
Yii實現了一個cookie驗證機制,可以防止cookie被修改。啓用之後可以對cookie的值進行HMAC檢查。
Cookie驗證在默認情況下是禁用的。如果你要啓用它,可以編輯應用配置 中的組件中的CHttpRequest部分。
代碼示例:
return array( 'components'=>array( 'request'=>array( 'enableCookieValidation'=>true, ), ),);
一定要使用經過Yii驗證過的cookie數據。使用Yii內置的cookies組件來進行cookie操作,不要使用$_COOKIES。
// 檢索一個名爲$name的cookie值$cookie=Yii::app()->request->cookies[$name];$value=$cookie->value; ......// 設置一個cookie$cookie=new CHttpCookie($name,$value);Yii::app()->request->cookies[$name]=$cookie;