wordpress 中的 XSS 攻击?

Posted

技术标签:

【中文标题】wordpress 中的 XSS 攻击?【英文标题】:XSS attack in wordpress? 【发布时间】:2015-08-25 12:59:14 【问题描述】:

我正在开发一个 WordPress 主题。使用 XSS 来保证它的安全性。这里我有两个疑问:

    如何检测主题是否会感染XSS攻击?还是已经被感染了?

    如何防止其感染XSS?

我知道这与 WordPress 有关,我应该在 WordPress 上发布。我已经做到了here,但还没有解决方案。

【问题讨论】:

【参考方案1】:

XSS 不是一种感染,它是一种安全漏洞。你可以learn more about preventing XSS vulnerabilities here。

    如何检测主题是否会感染XSS攻击?还是已经感染?

这个问题没有简单的答案。要确定主题是否容易受到 XSS 攻击,您需要审核每个源文件并检查生成输出的每个位置,以确保它没有做任何危险的事情(例如 <form action="<?php echo $_SERVER['PHP_SELF']; ?>">)。

    如何防止被XSS感染?

    始终转义输出以防止用户提供的数据添加 HTML 实体,例如 <> 等。此处使用的快速帮助方法是:

    function nohtml($input, $encoding='UTF-8')

    return htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, $encoding);

    请注意,这将阻止用户提供任何 HTML。

    使用诸如 HTML Purifier 之类的库来转义整个 HTML 块以防止 XSS 攻击。

【讨论】:

以上是关于wordpress 中的 XSS 攻击?的主要内容,如果未能解决你的问题,请参考以下文章

WEB安全测试之XSS攻击

网站攻击中的csrf和xss

网站攻击中的csrf和xss

网站攻击中的csrf和xss

XSS跨站脚本攻击

XSS 攻击实战