我注意到我的图像弹出代码受到 XSS 攻击。我理解这个问题,但由于 PHP 不是我的专业领域,我不知道如何纠正它。我做了一个公平的在这里进行一些搜索,但仍然不完全清楚如何修复我的代码。
这是有问题的代码:
<?php
echo '<a href="javascript:window.close()">' . zen_image($_GET['products_image_large_additional'], $products_values->fields['products_name'] . ' ' . TEXT_CLOSE_WINDOW) . '</a>';
?>
如何更正此代码以更正其中的 XSS 漏洞?
我不确定zen_image期望/做什么,但是您可以在将 GET 变量传递给函数之前对其进行转义。
<?php
echo '<a href="javascript:window.close()">' . zen_image(strip_tags($_GET['products_image_large_additional']), $products_values->fields['products_name'] . ' ' . TEXT_CLOSE_WINDOW) . '</a>';
?>
我使用函数strip_tags删除任何 HTML 标签。
您显然是在服务器端
( $products_values->fields['products_name']) 上获取产品的数据,那么为什么不以相同的方式获取图像而不是通过它$_GET呢?那应该可以解决您的问题。