Phalcon 上下文编码(Contextual Escaping)

最新推荐文章于 2022-04-12 23:24:10 发布
最新推荐文章于 2022-04-12 23:24:10 发布
阅读量157 收藏
点赞数
文章标签: php javascript c/c++ ViewUI

站点及其他B/S应用极易受到 XSS 攻击,虽然PHP提供了转义功能。在某些情况下依旧不够安全。在Phalcon中 Phalcon\Escaper 提供了上下文转义功能,这个模块是由C语言实现的, 这在进行转义时能够有更好的性能。

Phalcon的上下文转义组件基于 OWASP 提供的`XSS (Cross Site Scripting) 预防作弊表`_

另外。这个组件依赖于 mbstring 扩展,以支持差点儿全部的字符集。

以下的样例中展示了这个组件是怎样工作的:

<?php

    //带有额外的html标签的恶意的文档标题
    $maliciousTitle = '</title><script>alert(1)</script>';

    //恶意的css类名
    $className = ';`(';

    //恶意的css字体名
    $fontName = 'Verdana"</style>';

    //恶意的Javascript文本
    $javascriptText = "';</script>Hello";

    //创建转义实例对象
    $e = new Phalcon\Escaper();

?>

<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>

    <title><?

php

echo $e -> escapeHtml ( $maliciousTitle ) ?

>

</title> <style type= "text/css" > . <?

php

echo $e -> escapeCss ( $className ) ?> { font-family : " <?

php

echo $e -> escapeCss ( $fontName ) ?

>

" ; color : red ; } </style> </head> <body> <div class= ' <?php echo $e -> escapeHtmlAttr ( $className ) ?

>

' >hello </div> <script> var some = ' <?php echo $e -> escapeJs ( $javascriptText ) ?> ' </script> </body> </html>

结果例如以下:


Phalcon会依据文本所处的上下文进行转义。 恰当的上下文环境对防范XSS攻击来说是很重要的。

HTML 编码(Escaping HTML)

最不安全的情形即是在html标签中插入非安全的数据。

<div class="comments"><!-- Escape untrusted data here! --></div>

我们能够使用escapeHtml方法对这些文本进行转义:

<div class="comments"><?php echo $e->escapeHtml('></div><h1>myattack</h1>'); ?></div>

结果例如以下:

<div class="comments">&gt;&lt;/div&gt;&lt;h1&gt;myattack&lt;/h1&gt;</div>

HTML 属性编码(Escaping HTML Attributes)

对html属性进行转义和对html内容进行转义略有不同。

对html的属性进行转义是通过对全部的非字母和数字转义来实现的。类例的转义都会如此进行的,除了一些复杂的属性外如:href和url:

<table width="Escape untrusted data here!"><tr><td>Hello</td></tr></table>

我们这里使用escapeHtmlAttr方法对html属性进行转义:

<table width="<?php echo $e->escapeHtmlAttr('"><h1>Hello</table'); ?>"><tr><td>Hello</td></tr></table>

结果例如以下:

<table width="&#x22;&#x3e;&#x3c;h1&#x3e;Hello&#x3c;&#x2f;table"><tr><td>Hello</td></tr></table>

URL 编码(Escaping URLs)

一些html的属性如href或url须要使用特定的方法进行转义:

<a href="Escape untrusted data here!">Some link</a>

我们这里使用escapeUrl方法进行url的转义:

<a href="<?php echo $e->escapeUrl('"><script>alert(1)</script><a href="#'); ?>">Some link</a>

结果例如以下:

<a href="%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E%3Ca%20href%3D%22%23">Some link</a>

CSS 编码(Escaping CSS)

CSS标识/值也能够进行转义:

<a style="color: Escape unstrusted data here">Some link</a>

这里我们使用escapeCss方法进行转义:

<a style="color: <?

php

echo $e -> escapeCss ( '"><script>alert(1)</script><a href="#' ); ?

>

" >Some link </a>

结果:

<a style="color: \22 \3e \3c script\3e alert\28 1\29 \3c \2f script\3e \3c a\20 href\3d \22 \23 ">Some link</a>

Javascript 编码(Escaping Javascript)

插入Javascript代码的字符串也须要进行适当的转义:

<script>document.title = 'Escape untrusted data here'</script>

这里我们使用escapeJs进行转义:

<script>document.title = '<?php echo $e->escapejs("'; alert(100); var x='"); ?

>

' </script> 
<script>document.title = '\x27; alert(100); var x\x3d\x27'</script>
weixin_34247299
关注
CVPR2018_attention:语义分割MegaDepth的上下文编码
05-15
CVPR2018_attention 用于语义分割的上下文编码MegaDepth:从互联网照片中学习单视图深度预测LiteFlowNet:用于光流估计的轻量级卷积神经网络PWC-Net:使用金字塔,翘曲和成本量的光流CNN 语义分割模型对对抗攻击的鲁棒性SPLATNet:用于点云处理的稀疏格子网络立体声匹配的左右比较递归模型使用视差先验增强立体图像的空间分辨率无监督的CCA 发现具有强度距离场的点光源CBMV:用于视差估计的合并双向匹配量学习用于语义分割的判别特征网络复习扩张式卷积:一种用于弱监督和半监督语义分割的简单方法无监督的深度生成对抗式哈希网络Web立体声数据监控的单眼相对深度感知具有感知损失的单图像反射分离缩放和学习:将深度立体声匹配推广到新颖领域EPINET:使用对极几何的光场深度估计的全卷积神经网络FoldingNet:3D点云上可解释的无监督学习与装饰相关的批次归一化使用
论文阅读——Context Encoder(上下文编码器)
长路漫漫亦灿灿
09-26 4366
Context Encoders: Feature Learning by Inpainting (CVPR 2016)论文笔记
深度上下文编码:DCVC
热门推荐
Dillon2015的博客
04-12 2万+
本文来自NeurIPS 2021论文《Deep Contextual Video Compression》 传统的视频编码方法和最近的基于深度学习的视频编码框架都是采用预测编码的方式,生成预测帧然后和当前帧相减得到残差帧再对残差进行编码。给定预测帧求残差帧是很好的去除时域冗余的方法,但是却不是最优的,因为求残差的操作是一种简单的手工设计的相减的操作,并不能完全去除整个帧的冗余。残差帧的熵大于给定预测帧时当前帧的条件熵,其中H(.)是香农熵,是当前帧,是预测帧。 论文提出基于上下文条件的编...
Context Encoding for Semantic Segmentation----用于语义分割的上下文编码
weixin_42702666的博客
04-22 4471
收录于cvpr2018 论文地址:Context Encoding for Semantic Segmentati 代码实现:https://github.com/zhanghang1989/PyTorch-Encoding Abstract 之前的研究通过使用空洞卷积、多尺度特征和微调边界的全卷积神经网络(FCN)对像素分类,有效的提升了空间分辨率。在这篇论文中,我们引入了上下文编码模块...
phalcon:Phalcon框架
04-22
hal Phalcon框架 ... 编码标准 Phalcon\Html\Tag\Link Phalcon\Cache\Cache 去做 标准 描述 缓存接口 Phalcon\Http\Message 容器接口 事件调度程序 HTTP处理程序 Phalcon\Http\Message HTTP客户端
phalcon.dll(windows phalcon插件)
02-12
在Windows上安装Phalcon,首先需要确保你的PHP环境满足最低版本要求,即PHP 5.6。这是因为Phalcon 3.4.1与PHP 5.6及以上版本兼容。如果当前PHP版本低于5.6,你需要升级PHP到合适版本,以保证Phalcon能正常工作。 ...
swoole-phalcon
11-27
由于其底层是C语言实现,因此Phalcon在性能上相比于其他纯PHP框架有着显著的优势。 "swoole-phalcon"的结合意味着将Swoole的异步、非阻塞特性与Phalcon的高性能Web框架优势融合在一起,创建出能够处理大规模并发...
phalconcrud:在 IIS 7 和 MSSQL 上运行的 Phalcon CRUD 应用程序
06-12
Phalcon PHP 应用程序已配置为在 IIS 7 和 MSSQL 数据库上运行。 开始 要求 要在您的机器上运行此应用程序,您至少需要: PHP >= 5.3.11 启用了 mod 重写的 Apache Web 服务器 已启用 Phalcon PHP 框架扩展 ...
phalcon-jwt-auth:Phalcon框架的基本jwt身份验证类
05-18
phalcon-jwt-auth 一个简单的JWT中间件,用于Phalcon Micro处理无状态身份验证。 安装 $ composer require dmkit/phalcon-jwt-auth 或在您的composer.json中 { " require " : { " dmkit/phalcon-jwt-auth " : ...
phalcon: 上下文转义
weixin_34417635的博客
09-27 99
phalcon: 上下文转义 Phalcon\Escaper 转义特殊的字符 一:字符转义 $maliciousTitle = '&lt;/title&gt;&lt;script&gt;alert(1)&lt;/script&gt;'; $e = new Phalcon\Escaper(); echo $e-&gt;escapeHtml($maliciousTitle) ...
ENCNet:通过上下文语义编码提升语义分割结果
m0_63642362的博客
12-03 713
CVPR2018论文 "Context Encoding for Semantic Segmentation" with Paddle Reproduction.
H.264(十)上下文自适应的变长编码CAVLC概念
QtHalcon
05-01 1448
概述: 我们知道,CAVLC的全称叫做“上下文自适应的变长编码Context-based Adaptive Variable Length Coding”。所谓“上下文自适应”,说明了CAVLC算法不是像指数哥伦布编码那样采用固定的码流-码字映射的编码,而是一种动态编码的算法,因而压缩比远远超过固定变长编码UVLC等算法。 在H.264标准中,CAVLC主要用于预测残差的编码。在本系列第二篇博...
H264/AVC-基于上下文自适应可变长编码CAVLC原理以及代码实现
qq_42139383的博客
07-01 2179
1. 基本原理 CAVLC属于熵编码。熵编码是一种无损压缩编码方法,它生成的码流可以经解码无失真地恢复出原数据。熵编码是建立在随机过程的统计特性基础上的,因此它主要为了降低数据的统计冗余。 在 H.264 的 CAVLC(基于上下文自适应的可变长编码)相比于huffman编码,它可以通过根据已编码句法元素的情况自适应调整当前编码中使用的码表,从而取得了极高的压缩比。 下面举例说明CAVLC的基于上下文特性。 下图是色度分量DC系数解析要用到的码表,其中tzVlcIndex指的是非零DC系数个数(色度DC系数
h264CAVLC自适应上下文变长编码原理
xietingcandice的专栏
11-18 3548
编码是无损压缩编码方法,它生成的码流可以经解码无失真地恢复出原数据。熵编码是建立在随机过程的统计特性基础上的。 称H(X )为信息源 X的熵(entropy),单位为 bit/符号, 通常也称为 X的一阶熵,它可以理解为信息源X 发任意一个符号的平均信息量。由信息论的基本概念可以知道,一阶熵是无记忆信息源(在无失真编码时)所需数码率的下界。 熵的大小与信源的概率模型有着密切的关系,各个符号出
phalcon查询技巧
GlatChen的专栏
10-26 4746
简要介绍几个使用phalcon查询的小技巧
Phalcon学习笔记-常用函数
非专业程序员小田
11-01 6819
Controller 设置变量 $this->view->setVar("val", "123");Controller展示
phalcon: 过滤(Phalcon\Filter())
weixin_34278190的博客
09-27 238
过滤,就是清除不需要的数据,留下想要的数据。 其调用方法如下,一: $filter = new \Phalcon\Filter(); $filter-&gt;sanitize("some(one)@exa\mple.com", "email"); 得到的结果是:"someone@example.com"    另外一种方法是: 直接通过getPost/get获取 ...
Phalcon ajax防 csrf 提交方法
努力搬砖,努力生活
11-11 2318
描述在Phalcon中使用ajax提交post时如果正确使用csrf token防止csrf攻击
Phalcon PHP 框架文档1.2.0精要
"安装"章节涵盖了Phalcon在多种操作系统上的安装步骤,包括Windows、Linux/Solaris/Mac以及FreeBSD。每个平台都有详细的安装指南和注意事项,帮助开发者顺利集成Phalcon到他们的开发环境中。 "教程1:让我们通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值