我创建了一个.phtml和一个模型,用于在Magento EE的cms页面中从数据库中获取数据。它基本上从数据库中获取有关城市的数据,就像谷歌搜索一样,参数被传递到url并获得结果并显示在页面上。
现在,出于安全原因我在其上应用XSS时会出现问题。我试图阻止它使用以下代码的XSS攻击
$formKey = $this->getRequest()->getParam('formKey');
if($formKey != Mage::getSingleton('core/session')->getFormKey()){
exit;
}
但添加这个对我没有用。当我在cms页面中调用模板文件时执行exit。
在这方面,任何帮助都会受到高度关注。提前致谢
答案 0 :(得分:0)
你被XSS和CSRF误解了,你想要达到的目的是保护CSRF攻击,
您可以通过调用_validateFormKey()方法来保护CSRF
if (!$this->_validateFormKey()) {
exit();
}