php如何防止utf-7 反射xss 漏洞。

Question

使用的是 yii1.1框架

        $req = Yii::app()->request;
        $purifier = new CHtmlPurifier();
        $purifier->options = array(
            'URI.AllowedSchemes'=>array(
                'http' => true,
                'https' => true,
            )
        );
            $url = $purifier->purify($req->getParam('url'));

所有的参数都使用 purify 过滤了。但是还是有这个漏洞。请问如何解决。有比较好的解放方案吗

Answer 1

1 自定义方法 过滤常用xss攻击标签：script|iframe|image/Uis
2 配置方向考虑：设置httponly禁止获取cookie
3 服务方向：使用SSL协议，禁止加载外部js