防止Magento中的XSS攻擊

Question

我已經創建了一個.phtml和一個用於從Magento EE中的cms頁面中的數據庫獲取數據的模型。它基本上從數據庫獲取關於城市的數據，就像谷歌搜索一樣，參數被傳遞給url並獲得結果並顯示在頁面上。

現在，出於安全原因，我在其上應用XSS時出現問題。我想對此我用下面的代碼

$formKey  = $this->getRequest()->getParam('formKey'); 
    if($formKey != Mage::getSingleton('core/session')->getFormKey()){ 
     exit; 
    } 

但增加這並沒有爲我工作，以防止它XSS攻擊。當我在cms頁面調用模板文件時執行退出。

任何幫助將在這方面高度appriciated。在此先感謝

Answer 1

你被人誤解與XSS和CSRF，你要實現的目標是保護CSRF攻擊，

您可以通過調用_validateFormKey（）方法

if (!$this->_validateFormKey()) {  

     exit();    
} 

CSRF保護