防止 magento 中的 XSS 攻击
Preventing XSS attack in magento
我已经创建了一个 .phtml 和一个模型,用于在 Magento EE 的 cms 页面中从数据库中获取数据。它基本上从数据库中获取有关城市的数据,就像 google 搜索一样,将参数传递给 url 并获取结果并显示在页面上。
现在,当我出于安全原因对其应用 XSS 时,问题就出现了。我正在尝试防止它受到 XSS 攻击,为此我使用了以下代码
$formKey = $this->getRequest()->getParam('formKey');
if($formKey != Mage::getSingleton('core/session')->getFormKey()){
exit;
}
但是添加这个对我不起作用。当我在cms页面调用模板文件时执行退出。
在这方面,我们将不胜感激任何帮助。提前致谢
你对 XSS 和 CSRF 有误解,你的目的是保护 CSRF 攻击,
您可以通过调用 _validateFormKey() 方法来保护 CSRF
if (!$this->_validateFormKey()) {
exit();
}
我已经创建了一个 .phtml 和一个模型,用于在 Magento EE 的 cms 页面中从数据库中获取数据。它基本上从数据库中获取有关城市的数据,就像 google 搜索一样,将参数传递给 url 并获取结果并显示在页面上。
现在,当我出于安全原因对其应用 XSS 时,问题就出现了。我正在尝试防止它受到 XSS 攻击,为此我使用了以下代码
$formKey = $this->getRequest()->getParam('formKey');
if($formKey != Mage::getSingleton('core/session')->getFormKey()){
exit;
}
但是添加这个对我不起作用。当我在cms页面调用模板文件时执行退出。
在这方面,我们将不胜感激任何帮助。提前致谢
你对 XSS 和 CSRF 有误解,你的目的是保护 CSRF 攻击,
您可以通过调用 _validateFormKey() 方法来保护 CSRF
if (!$this->_validateFormKey()) {
exit();
}