wordpress中的XSS攻击?

时间:2015-06-10 10:22:15

标签: php wordpress security xss

我正在开发一个WordPress主题。为了XSS的安全性。在这里我有两个问题:

  
      
  1. 如何检测主题可以感染XSS攻击?还是已经感染了?

  2.   
  3. 如何防止它被XSS感染?

  4.   

我知道这与WordPress有关,我应该在WordPress上发布。我已经here,但还没有解决方案。

1 个答案:

答案 0 :(得分:0)

XSS不是一种感染,它是一种安全漏洞。你可以learn more about preventing XSS vulnerabilities here

  
      
  1. 如何检测主题可以感染XSS攻击?还是已经感染了?
  2.   

这个问题没有一个简单的答案。要确定主题是否容易受到XSS攻击,您需要审核每个源文件并检查生成输出的每个位置,以确保它没有做任何危险(例如<form action="<?php echo $_SERVER['PHP_SELF']; ?>">)。

  
      
  1. 如何防止它被XSS感染?
  2.   
  1. 始终转义输出以防止用户提供的数据添加HTML实体,例如<>等。此处使用的快速帮助方法是:

    function noHTML($input, $encoding='UTF-8')
    {
        return htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, $encoding);
    }
    

    请注意,这会阻止用户提供任何HTML。

  2. 使用HTML Purifier等库来转义整个HTML块以防止XSS攻击。