Y a-t-il une bonne bibliothèque dans le CPAN pour filtrer les scripts inter-sites (XSS)?

Question

Y a-t-il une bonne bibliothèque dans CPAN pour filtrer un champ de texte pour toutes les mauvaises choses, comme xss?

Answer 1

Votre première étape devrait toujours être de rechercher et de parcourir les résultats. On dirait qu'il y a lots of potential hits. Lorsque je cherche quelque chose de nouveau, je parcours les résultats de recherche et je vérifie les docs des modules pour voir à quel point ils sont clairs et à quel point l'API est bien construite. Je cherche aussi des avis (certains ont, d'autres pas - c'est souvent aléatoire) et vérifie les bugs. Cela me donne une idée de ce à quoi je suis confronté.

Si votre question est "Laquelle de ces différentes options est la meilleure?", Alors j'ai peur de ne pas savoir dans ce cas. (Ma réponse initiale a peut-être été trop générale.)

Deux bons endroits pour lancer une recherche de CPAN:

• Search CPAN
• Kobes' search

Answer 2

Au niveau de base que vous voulez HTML::Entities, mais qui vous échappera dépend de l'endroit où vous utilisez les valeurs dans le DOM. Cela n'aidera pas du tout l'entité html à encoder une entrée utilisateur si vous la collez à l'intérieur d'une balise <script>, par exemple.

Il est assez probable que vous utilisez une sorte de modèle pour générer le code HTML, il devrait donc avoir une méthode pour échapper au contenu, HTML::Mason a <% $thing |h %>, Template::Toolkit a [% thing | html %] ... mais si vous faites juste Dans votre propre code, vous devrez appeler le encode_entities.