当我在网址栏中直接写https://example.com/?trigger=*/</script><script>alert(1)</script>时,它会提示警告框。
如何在wordpress网站中修复此问题?
我已尝试过一些插件,如安全标头,html净化器等,但没有成功。
如何防止这类漏洞?
答案 0 :(得分:1)
此插件对以下符号进行编码,然后从URL中删除一些XSS符号:
您可以编码或阻止此类实体。您也可以以逗号分隔的形式添加不想在URL中被阻止/删除的实体。
答案 1 :(得分:1)
我个人使用的是Wordfence Security Plug-in的免费版本。我在您的网站https://www.majlovesreg.one/?trigger=*/</script><script>alert(1)</script>上尝试了您的链接,但未创建浏览器警报。
看起来像安全性插件可以完成这项工作。 :-)
答案 2 :(得分:0)
有许多方法可以阻止您网站上的XSS,您可以阻止某些输入,例如特殊字符(&lt;,&gt;,/),以及仅允许公共用户在提示时输入信息。这是一篇很好的文章,旨在增加您的知识,因为有时您无法总是找到一个插件来解决您的问题:)
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
p.s它还列出了更多的预防方法。