CodeIgniter XSS筛选器问题

Question

应用程序/控制器/welcome.php

<?php
class Welcome extends CI_Controller {

    public function index()
    {
        if ($val = $this->input->post('test'))
        {
            var_dump($val);
        }
        else
        {
            $this->load->view('welcome_message');
        }
    }
}

应用程序/视图/weclome_message.php

<form action="" method="POST">
<input type="text" name="test" />
<input type="submit" />
</form>

XSS过滤器打开且输入％9c的输出：

string(1) "œ"

XSS过滤器关闭且输入％9c的输出：

string(3) "%9c"

我期望第一个与第二个相同。 到底是什么情况？

Answer 1

我认为那是因为

$str = rawurldecode($str);

在xss_clean函数中。 看一下346行：

https://github.com/EllisLab/CodeIgniter/blob/develop/system/core/Security.php

您可以尝试注释该行，然后看看会发生什么。