1、跨站脚本攻击的防范(xss)
// 纯文本内容输出
CHtml::encode();
// Html文本内容输出
$purifier = new CHtmlPurifier;
echo $purifier->purify($content);
// 或
$this->beginWidget('CHtmlPurifier');
/** ... 内容 **/
$this->endWidget();
2、跨站请求伪造攻击的防范(csrf)
'components' => array(
'request' => array(
'enableCsrfValidation' => true,
),
),
3、Cookie攻击的防范
'components' => array(
'request' => array(
'enableCookieValidation' => true,
),
),