我正在开发一个WordPress主题。为了XSS的安全性。在这里我有两个问题:
如何检测主题可以感染XSS攻击?还是已经感染了?
- 醇>
如何防止它被XSS感染?
我知道这与WordPress有关,我应该在WordPress上发布。我已经here,但还没有解决方案。
答案 0 :(得分:0)
XSS不是一种感染,它是一种安全漏洞。你可以learn more about preventing XSS vulnerabilities here。
- 如何检测主题可以感染XSS攻击?还是已经感染了?
醇>
这个问题没有一个简单的答案。要确定主题是否容易受到XSS攻击,您需要审核每个源文件并检查生成输出的每个位置,以确保它没有做任何危险(例如<form action="<?php echo $_SERVER['PHP_SELF']; ?>">
)。
- 如何防止它被XSS感染?
醇>
始终转义输出以防止用户提供的数据添加HTML实体,例如<
,>
等。此处使用的快速帮助方法是:
function noHTML($input, $encoding='UTF-8')
{
return htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, $encoding);
}
请注意,这会阻止用户提供任何HTML。