请教：xss打开的时候，css样式的过滤问题

phptree

我打开了xss过滤，提交的含有css内容的数据不能正常获得！
请教：我即想使用过滤这个功能，又能获得正确的值，该怎么做呢？

PHP复制代码

 
config['global_xss_filtering'] = TRUE;
 

复制代码

提交含有css样式的内容的时候，用下面两种都不能正确获得提交的值

PHP复制代码

 
$this->input->post('con')
$this->input->post('con',false)
 

复制代码

例如：

HTML复制代码

 
<p><span style="color:#ff0000;">1111111</span></p>
 

复制代码

插入数据库的内容只有

HTML复制代码

 
<p><span
 

复制代码

这种情况该如何处理呢？

huboo82

确认不是你的富文本编辑器的问题，因为有的富文本编辑器会过滤掉这些。

phptree

huboo82 发表于 2012-2-29 11:11
确认不是你的富文本编辑器的问题，因为有的富文本编辑器会过滤掉这些。

我用的是ckeditor，改成false就正常显示了

PHP复制代码

config['global_xss_filtering'] = FALSE;

复制代码

但是这样就起不到过滤的作用了啊！

先前用FCK的时候，没用框架只是会加斜线而已，而这次却是过滤掉整个后面的内容

Hex

为了安全，CI过滤掉那些东西了。
你要允许只能自己去修改CI源码。

huboo82

发现同样的问题。http://codeigniter.com/forums/viewthread/186100/

HTML复制代码

 
style="background-image(http://sucks.com/any.png)"
 

复制代码

1. 
   
2. and any.png is a malicious controller
   
3. could that be harmful?
   

复制代码

如果不介意上面这种可能的威胁，可以看看他们6楼的解决方法。

phptree

huboo82 发表于 2012-2-29 11:53
发现同样的问题。http://codeigniter.com/forums/viewthread/186100/

谢谢前辈！
他们争论来争论去的，也没有好点子，看来我还是禁掉xss，每个post单独使用xss，遇到css就用addslashes吧
也不知道大家在真正的开发中遇到这种问题是怎么解决的啊

Hex

phptree 发表于 2012-2-29 15:14
谢谢前辈！
他们争论来争论去的，也没有好点子，看来我还是禁掉xss，每个post单独使用xss，遇到css就用ad ...

一般都是遇到问题就扩展下 CI 的函数，改成符合自己要求的。

Icen

哎，我今天也遇到这个问题了，编辑器提交的内容。

楓閒殘月

我也遇到了这样的问题。。哎。真是麻烦呢。不知道在下个版本中会不会改进。