【magento2模板开发专题20】模板 XSS 安全

原创

深漂小码哥 2022-01-19 15:47:26 博主文章分类：Magento ©著作权

文章标签 magento2模板XSS安全 php html 转义 文章分类 代码人生

©著作权归作者所有：来自51CTO博客作者深漂小码哥的原创作品，请联系作者获取转载授权，否则将追究法律责任

对于XSS攻击的安全措施

为了防止XSS问题Magento推荐以下转义输出模板中的规则：

如果方法指示内容已转义，则不要转义： getTitleHtml(), getHtmlTitle() (标题已为HTML输出做好准备)
类型转换和PHP函数 count() 不需要逸出 (例如 echo (int)$var, echo (bool)$var, echo count($var))
单引号的输出不需要转义 (例如 echo 'some text')
无变量双引号的输出不需要转义 (例如 echo "some text")

下面的代码示例说明了模板的XSS安全输出：

<?php echo $block->getTitleHtml() ?>
<?php echo $block->getHtmlTitle() ?>
<?php echo $block->escapeHtml($block->getTitle()) ?>
<h1><?php echo (int)$block->getId() ?></h1>
<?php echo count($var); ?>
<?php echo 'some text' ?>
<?php echo "some text" ?>
<a href="<?php echo $block->escapeXssInUrl($block->getUrl()) ?>"><?php echo $block->getAnchorTextHtml() ?
></a>

<!-- In this example $postData is a JSON string -->
  <button class="action" data-post='<?php /* @noEscape */ echo $postData ?>' />

<span class="label"><?php echo $block->escapeHtml($block->getLabel()) ?></span>

<a href="<?php echo $block->escapeUrl($block->getCategoryUrl()) ?>">Some Link</a>

<span class="<?php $block->escapeQuote($block->getSpanClass()) ?>">Product Description</span>

上一篇：【magento2模板开发专题11】布局

下一篇：【magento2模板开发专题2】主题结构

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯