CodeIgniterSecurity辅助函数xss_clean过滤XSS_CodeIgniterXSS过滤Helper详解【教程】

xss_clean在codeigniter 3中仅提供基础启发式过滤，无法防御现代xss变体；它依赖易绕过的正则匹配，不解析html结构、不区分输出上下文、不处理css/url/事件处理器混淆，ci4已彻底移除，应改用上下文敏感的输出编码+htmlpurifier+cs。

xss_clean 在 CodeIgniter 3 中确实能过滤部分 XSS，但它不是万能的，也不该被当作最终防护手段——它只是早期、轻量、基于正则的启发式清洗，对现代 XSS 变体（如事件处理器绕过、SVG 注入、DOM-based XSS）基本无效。

为什么 xss_clean 会漏掉真实 XSS？

它本质是用一组固定正则匹配并移除“看起来危险”的 HTML 片段，比如删掉 onerror、javascript:、<script></script> 标签等。但攻击者早就不写 <script></script> 了，改用 <img src="https://img.php.cn/" alt="CodeIgniterSecurity辅助函数xss_clean过滤XSS_CodeIgniterXSS过滤Helper详解【教程】"> 或 <svg onload="alert(1)"></svg>，而旧版 xss_clean 对这类内联事件和 SVG 标签支持极弱；更关键的是，它不解析 HTML 结构，纯字符串替换，容易被大小写混淆（OnErRoR）、空格/制表符分隔（on error=）、注释干扰（on<!-- -->error=）绕过。

常见错误现象：xss_clean 处理后页面仍弹窗、用户提交的富文本中嵌入了可执行 JS、后台管理页出现未预期的 DOM 操作。

• 它不处理 CSS 中的 expression()（IE）或 url(javascript:...)
• 它不校验 URL 协议白名单，data:text/html;base64,... 会被放过
• 它不区分上下文：把本该输出到 HTML 属性里的内容，和输出到 JS 字符串里的内容，用同一套规则处理

什么时候还能用 xss_clean？

仅限低风险、内部系统、输入即输出且无富文本编辑需求的场景，比如后台日志备注字段、简单表单的短文本描述。一旦涉及用户可控内容渲染到前端（尤其是富文本、评论、个人简介），就别依赖它。

使用场景示例：

纳米漫剧流水线

360推出的国内首个工业级AI漫剧生产平台

下载

• 管理员后台录入的「系统通知标题」，只在列表页纯文本展示
• API 接收的 status 字段值（如 "active", "pending"），需防意外 HTML 注入但无渲染逻辑
• 作为第一道“防手滑”过滤，配合后续更严格的输出编码

注意：xss_clean 在 CodeIgniter 4 中已被完全移除，CI4 官方明确推荐用输出编码 + CSP + 输入白名单替代。

替代 xss_clean 的实际做法

真正有效的防护是分层的，不是靠一个函数“一洗了之”。重点不在“清洗输入”，而在“安全地输出”和“限制执行环境”。

• 输出时按上下文编码：html_escape($str)（HTML 内容）、js_escape($str)（JS 字符串）、attribute_escape($str)（HTML 属性值）
• 富文本必须用成熟解析器（如 HTMLPurifier），配置严格白名单（只允许可信标签+属性+协议）
• 设置 HTTP 头 Content-Security-Policy: default-src 'self'，直接阻断内联脚本和外部不可信资源
• 数据库存原始值，过滤/转义只发生在输出前——避免双重编码或清洗丢失语义

示例：CI3 中输出用户昵称到 HTML body，应写成 <p><?php echo html_escape($user_name); ?></p>，而不是先 xss_clean($user_name) 再直接 echo。

CI3 项目里还在用 xss_clean，现在改还来得及吗？

来得及，但别全局替换为“更狠的正则清洗”。先定位哪些地方真用了它做 XSS 防护（搜 xss_clean( 和 $this->security->xss_clean(），再逐个判断输出上下文：

• 如果输出到 HTML 文本节点 → 改用 html_escape()
• 如果拼进 JS 变量 → 改用 json_encode($str, JSON_HEX_TAG | JSON_HEX_AMP) 并包裹在引号里
• 如果渲染富文本 → 停用 xss_clean，引入 HTMLPurifier 并配好 HTML.Allowed
• 如果只是想防 SQL 注入 → xss_clean 完全没用，该用 Query Builder 或预处理语句

最常被忽略的一点：很多开发者以为调用了 xss_clean 就等于“已过滤 XSS”，结果在模板里又用 echo $unsafe_var 直出，等于白过滤——过滤必须和输出方式严格匹配，否则就是假安全感。