Yii框架XSS过滤与输出转义设置

Yii框架的XSS防护核心在于“上下文感知”的输出转义——纯文本必须用Html::encode()进行HTML实体编码，而富文本（如编辑器内容、商品描述）则必须依赖HtmlPurifier进行HTML树级白名单过滤，绝不能依赖输入层的filter验证器或简单strip_tags；常见翻车点包括误用safe规则、在JS变量注入中错用Html::encode()（应改用Json::encode()）、遗漏HTML属性值转义，以及未缓存高频HtmlPurifier结果导致性能损耗——真正的安全不是“开了就完事”，而是每一处输出都精准匹配其渲染上下文。

Yii框架对XSS的防护不能只靠“开了就安全”——Html::encode() 适合纯文本，但一遇到富文本、商品描述、后台编辑器内容，它就会把

也转成乱码；而漏掉输出转义或误用 safe 规则，直接导致存储型 XSS。

Html::encode() 什么时候够用，什么时候会翻车

它只是把 <、>、"、'、& 做 HTML 实体编码，不碰标签结构，也不过滤属性。所以：

• 用户提交纯文本评论（如“好评！”），你用 Html::encode($comment) 渲染，结果是显示文字 <strong>好评！</strong> —— 安全但语义丢失
• 用户在富文本编辑器里写了

  支持 加粗

  ，你照样 Html::encode()，页面就变成一堆源码，不是排版
• 如果忘了调用它，比如直接 echo $model->content;，且内容含 ，XSS 立刻触发

HtmlPurifier 是怎么解决富文本 XSS 的

它不是简单替换字符，而是解析 HTML 树，按白名单规则删掉危险节点和属性。默认配置已禁用 —— 这里不能用 Html::encode()，得用 Json::encode()，否则引号和反斜杠会破坏 JS 结构