3 апреля 2012 г.

Zend, headMeta() и уязвимость UTF-7

Месяц тонкостей в информационной безопасности на хабре нашёл отражение и в моих постах =)
Старая шутка с уязвимостью UTF-7 живёт и по сей день. Лечится просто - располагайте meta-тег с кодировкой самым первым в шапке.


Например так:
Copy Source | Copy HTML
  1. <?php

  2. $this->headMeta()

  3.         ->appendHttpEquiv('Content-Type', 'text/html;charset=utf-8')

  4.         ->appendHttpEquiv('Content-Language', 'ru-RU')

  5.         ->appendName('description', $desc)

  6.         ->appendName('keywords', $key);


  7. $this->headTitle($this->title);

  8. ?>


  9. <head>

  10.         <?php echo $this->headMeta(); ?>

  11.         <?php echo $this->headTitle(); ?>

  12. </head>
Многие (я например) то и дело забывают, что юзерские данные могут быть не только в title, но и в тегах кейвордсов и описания.

Комментариев нет: