Estoy leyendo Pautas de codificación segura de Mozilla , y encontré esta declaración:
Don't trust any user data (input, headers, cookies etc). Validate it before using it
Estoy usando el marco de codeigniter, y estoy usando lo siguiente (en su mayoría funciones integradas) para entradas y cookies:
Inputs
- el filtrado xss global se establece en TRUE
- La protección CSRF está configurada en habilitada
Cookies
- las cookies están marcadas como seguras
- las cookies están marcadas como HTTPOnly
- las cookies están encriptadas
Encabezados . Aquí es donde me encuentro con un problema. ¿Cómo protejo mi sitio contra la inyección de encabezado? No he podido resolver esto.
Además, mientras estoy validando entradas de usuario como contraseñas, etc., me pregunto si hay algún otro tipo de validación que deba hacerse.