ich von den letzten 5-8 Stunden bin nicht versuchen Lösung immer für xss in magento verhindern,Wie xss in magento verhindern
Ich habe bereits alle aktuellen Patch in meinem magento installiert.
Ich verwende dieses Skript in Katalogsucheingabefeld
"><img src=x onerror=prompt(1);>
und ich erhalte diese Ausgabe: -
xss führen
Ich habe auch mit einer Validierung wie HTML versucht Escape, strip_tags, aber nichts für mich.
Kann mir bitte jemand helfen?
Ich habe viele Themen in Magneto 1.9 gemacht und viele XSS-Skripte getestet, aber Skript wird nicht ausgelöst.
1. <script>alert('hello')</script> even
2. In url www.yourwebsite.com?query=<script>alert('hello')</script> or
3. <img src=x onerror="alert('Pop-up window XSS infected');" in search box but every string is by default escaped by Magneto itself.
Dies, wenn Sie Ihre eigene benutzerdefinierte Suche gemacht und nicht gefolgt magento Standard passieren können die Daten an Controllern und zurück zu konfrontierte passieren.
können Sie verwenden value="<?php echo $this->htmlEscape(input_values_here) ?>"
Beispiel: Kredit Magento Xss Prevention
<li class="wide">
<label for="street_1" class="required"><em>*</em><?php echo $this->__('Street Address') ?></label>
<div class="input-box">
<input type="text" name="street[]" value="<?php echo $this->htmlEscape($this->getAddress()->getStreet(1)) ?>" title="<?php echo $this->__('Street Address') ?>" id="street_1" class="input-text required-entry" />
</div>
</li>
JUst für Wissen:
Sie können mehr über xss aus lernen XSS Tutorial
Sie können sogar prüfen, ob eine Nachricht von Magento in Ihrem Admin-Panel oder von Patches vorliegt.
Führen Sie diese grundlegenden Tests auf Ihre Anwendung: