預防magento中的XSS攻擊
[英]Preventing XSS attack in magento
問題描述
我在Magento EE的cms頁面中創建了一個.phtml和一個用於從數據庫獲取數據的模型。 它基本上從數據庫中獲取有關城市的數據,就像google搜索一樣,將參數傳遞到url中並獲取結果並顯示在頁面上。
現在,出於安全原因在我對其應用XSS時會出現問題。 我正在嘗試防止XSS攻擊,因為我正在使用以下代碼
$formKey = $this->getRequest()->getParam('formKey');
if($formKey != Mage::getSingleton('core/session')->getFormKey()){
exit;
}
但是添加這個對我不起作用。 當我在cms頁面中調用模板文件時,將執行退出操作。
在這方面,任何幫助都將得到高度重視。 提前致謝
1 個解決方案
解決方案1
0 已采納 2015-04-02 12:12:24
您被XSS和CSRF誤解了,您想要實現的目標是保護CSRF攻擊,
您可以通過調用_validateFormKey()方法來保護CSRF。
if (!$this->_validateFormKey()) {
exit();
}
防止xss攻擊的更好方法
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.