安全类

安全类包含了一些方法,用于安全的处理输入数据,帮助你创建一个安全的应用。

XSS 过滤

CodeIgniter comes with a Cross Site Scripting prevention filter, whichlooks for commonly used techniques to trigger JavaScript or other typesof code that attempt to hijack cookies or do other malicious things.If anything disallowed is encountered it is rendered safe by convertingthe data to character entities.

使用 XSS 过滤器过滤数据可以使用 xss_clean() 方法:

  1. $data = $this->security->xss_clean($data);

它还有一个可选的第二个参数 is_image ,允许此函数对图片进行检测以发现那些潜在的XSS 攻击, 这对于保证文件上传的安全非常有用。当此参数被设置为 TRUE 时,函数的返回值将是一个布尔值,而不是一个修改过的字符串。如果图片是安全的则返回 TRUE ,相反, 如果图片中包含有潜在的、可能会被浏览器尝试运行的恶意信息,函数将返回 FALSE 。

  1. if ($this->security->xss_clean($file, TRUE) === FALSE)
  2. {
  3. // file failed the XSS test
  4. }

重要

If you want to filter HTML attribute values, usehtml_escape() instead!

跨站请求伪造(CSRF)

打开你的 application/config/config.php 文件,进行如下设置,即可启用 CSRF 保护:

  1. $config['csrf_protection'] = TRUE;

如果你使用 表单辅助函数form_open()函数将会自动地在你的表单中插入一个隐藏的 CSRF 字段。如果没有插入这个字段,你可以手工调用 get_csrf_token_name()get_csrf_hash() 这两个函数。

  1. $csrf = array(
  2. 'name' => $this->security->get_csrf_token_name(),
  3. 'hash' => $this->security->get_csrf_hash()
  4. );
  5.  
  6. ...
  7.  
  8. <input type="hidden" name="<?=$csrf['name'];?>" value="<?=$csrf['hash'];?>" />

令牌(tokens)默认会在每一次提交时重新生成,或者你也可以设置成在 CSRF cookie的生命周期内一直有效。默认情况下令牌重新生成提供了更严格的安全机制,但可能会对可用性带来一定的影响,因为令牌很可能会变得失效(例如使用浏览器的返回前进按钮、使用多窗口或多标签页浏览、异步调用等等)。你可以修改下面这个参数来改变这一点。

  1. $config['csrf_regenerate'] = TRUE;

另外,你可以添加一个 URI 的白名单,跳过 CSRF 保护(例如某个 API 接口希望接受原始的 POST 数据),将这些 URI 添加到 'csrf_exclude_uris' 配置参数中:

  1. $config['csrf_exclude_uris'] = array('api/person/add');

URI 中也支持使用正则表达式(不区分大小写):

  1. $config['csrf_exclude_uris'] = array(
  2. 'api/record/[0-9]+',
  3. 'api/title/[a-z]+'
  4. );

类参考

  • _class _CI_Security
    • xssclean($str[, $isimage = FALSE])

参数:

  1. - **$str** (_mixed_) -- Input string or an array of strings返回:

XSS-clean data返回类型:mixed

尝试移除输入数据中的 XSS 代码,并返回过滤后的数据。如果第二个参数设置为 TRUE ,将检查图片中是否含有恶意数据,是的话返回 TRUE ,否则返回 FALSE 。

重要

This method is not suitable for filtering HTML attribute values!Use html_escape() for that instead.

  • sanitizefilename($str[, $relativepath = FALSE])

参数:

  1. - **$str** (_string_) -- File name/path
  2. - **$relative_path** (_bool_) -- Whether to preserve any directories in the file path返回:

Sanitized file name/path返回类型:string

尝试对文件名进行净化,防止目录遍历尝试以及其他的安全威胁,当文件名作为用户输入的参数时格外有用。

  1. $filename = $this->security->sanitize_filename($this->input->post('filename'));

如果允许用户提交相对路径,例如 file/in/some/approved/folder.txt ,你可以将第二个参数 $relative_path 设置为 TRUE 。

  1. $filename = $this->security->sanitize_filename($this->input->post('filename'), TRUE);
  • get_csrf_token_name()

返回:CSRF token name返回类型:string

返回 CSRF 的令牌名(token name),也就是 $config['csrf_token_name'] 的值。

  • get_csrf_hash()

返回:CSRF hash返回类型:string

返回 CSRF 哈希值(hash value),在和 get_csrf_token_name() 函数一起使用时很有用,用于生成表单里的 CSRF 字段以及发送有效的 AJAX POST 请求。

  • entitydecode($str[, $charset = NULL_])

参数:

  1. - **$str** (_string_) -- Input string
  2. - **$charset** (_string_) -- Character set of the input string返回:

Entity-decoded string返回类型:string

该方法和 ENT_COMPAT 模式下的 PHP 原生函数 html_entity_decode() 差不多,只是它除此之外,还会检测不以分号结尾的HTML 实体,因为有些浏览器允许这样。

如果没有设置 $charset 参数,则使用你配置的 $config['charset'] 参数作为编码格式。

  • getrandom_bytes($length_)

参数:

  1. - **$length** (_int_) -- Output length返回:

A binary stream of random bytes or FALSE on failure返回类型:string

这是一种生成随机字符串的简易方法,该方法通过按顺序调用 mcrypt_create_iv(), /dev/urandom和 openssl_random_pseudo_bytes() 这三个函数,只要有一个函数是可用的,都可以返回随机字符串。

用于生成 CSRF 和 XSS 的令牌。

注解

输出并不能保证绝对安全,只是尽量做到更安全。