Magento Xss Prevention

Question

Есть ли способ предотвратить xss-атаки в magento? в моем локальном хосте я просто пытаюсь проверить, как предотвратить xss-атаки, например, я вставляю скрипт, когда пользователь регистрируется в magento, я просто шокирован, когда вставляю целый скрипт в поле имени, я успешно зарегистрирован мой скриншот панели инструментов

после обновления страницы я получил еще один экран

Я просто хочу запретить пользователю, что никто не может так поступить.

Пожалуйста, помогите мне предотвратить подобные атаки.

Answer 1

Кроме того, это может быть проблемой шаблона.Если ваш шаблон неправильно экранирует пользовательский ввод, вы попадаете в мусор в вашей базе данных.Я также использую 1.4.1.1, но поля ввода фильтруются следующим образом:

<li class="wide">
    <label for="street_1" class="required"><em>*</em><?php echo $this->__('Street Address') ?></label>
    <div class="input-box">
        <input type="text" name="street[]" value="<?php echo $this->htmlEscape($this->getAddress()->getStreet(1)) ?>" title="<?php echo $this->__('Street Address') ?>" id="street_1" class="input-text required-entry" />
    </div>
</li>

Функция htmlEscape () должна заботиться о неприятностях.В некоторых шаблонах он отсутствовал в полях поиска, и с его помощью вы могли получить поддающуюся проверке проблему XSS.

Answer 2

Обновление до последней версии любого продукта - лучший способ предотвратить атаки XSS.Молодые веб-приложения печально известны тем, что поначалу не воспринимают эти вещи всерьез.

Если вы обновитесь до последней версии Magento и все еще столкнетесь с проблемой, я бы

1. Уведомить поставщика о проблеме

2. Добавить глобальный прослушиватель сохранения модели, который удаляет теги html из полей определенных моделей, в которых вы обнаружили проблемы.