ASP.NET tiene una API de secuencias de comandos entre sitios de forma predeterminada, sin embargo, ¿PHP tiene una API de prevención de secuencias de comandos entre sitios?
ASP.NET no proporciona una API XSS. Sospecho que está hablando de Validación de la solicitud , que es una característica en ASP.NET que inspecciona las solicitudes HTTP y busca información potencialmente peligrosa. Que yo sepa, PHP no ofrece nada como esto.
Si bien la validación de solicitudes puede ser un beneficio al prevenir ciertos tipos de ataques XSS, no reemplaza la protección adecuada de una aplicación contra las vulnerabilidades de XSS. Esto puede ser peligroso porque acosa a los desarrolladores en una falsa sensación de seguridad. Además de esto, la validación de solicitudes puede deshabilitarse, por lo que si confía en ella para la protección XSS y luego otra persona la desactiva, está en un gran problema.
Hay una buena publicación aquí que habla sobre algunas de las deficiencias de la validación de solicitudes en ASP.NET.
En resumen: no hay un equivalente en PHP de la validación de solicitud de ASP.NET y no debe confiar en la validación de la solicitud para protegerlo de XSS de todos modos.
He usado HTML Purifier antes y estoy bastante satisfecho.
Sin embargo, no he realizado pruebas extensivas / avanzadas en él. Los intentos básicos de XSS quedan atrapados, el sitio web parece mostrar que el mantenedor tiene una habilidad especial para esto, así que asumo que no es un proyecto falso. Si alguien aquí cree lo contrario, hágamelo saber.
Existe la API de seguridad empresarial OWASP que tiene una php version .
De lo contrario, existe un enfoque de firewall de aplicaciones web donde se utiliza algo como PHPIDS o mod_security puede detener algunos de los ataques.
Lea otras preguntas en las etiquetas web-application asp.net php