wordpress 中的 XSS 攻击？

Question

我正在开发一个 WordPress 主题。使用 XSS 来保证它的安全性。这里我有两个疑问：

1. 如何检测主题是否会感染XSS攻击？还是已经被感染了？

2. 如何防止其感染XSS？

我知道这与 WordPress 有关，我应该在 WordPress 上发布。我已经做到了here，但还没有解决方案。

Answer 1

XSS 不是一种感染，它是一种安全漏洞。你可以learn more about preventing XSS vulnerabilities here。

1. 如何检测主题是否会感染XSS攻击？还是已经感染？

这个问题没有简单的答案。要确定主题是否容易受到 XSS 攻击，您需要审核每个源文件并检查生成输出的每个位置，以确保它没有做任何危险的事情（例如 <form action="<?php echo $_SERVER['PHP_SELF']; ?>">）。

1. 如何防止被XSS感染？

1. 始终转义输出以防止用户提供的数据添加 HTML 实体，例如 <、> 等。此处使用的快速帮助方法是：

   function noHTML($input, $encoding='UTF-8')
   {
       return htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, $encoding);
   }
   

   请注意，这将阻止用户提供任何 HTML。

2. 使用诸如 HTML Purifier 之类的库来转义整个 HTML 块以防止 XSS 攻击。