magento < 1.9 xss 漏洞修复说明

magento XSS漏洞 介绍就不说了    百度一下  到处都是


这边简单记录下 处理过程, (比较粗暴,是否有效尚未验证)

编辑

app/design/adminhtml/default/default/template/sales/order/view/info.phtml

文件

搜索 getCustomerEmail  

 

有两处  输出调用


使用  htmlentities 方法过滤处理  即可    如下:

<td class="value">
    <a href="mailto:<?php echo htmlentities($_order->getCustomerEmail()); ?>">
    <strong>
        <?php echo htmlentities($_order->getCustomerEmail()); ?>
    </strong>
    </a>
</td>


PS:  主要是云ECS 老提示安全问题, 如此处理后  烦人的提示就没了,至于是否有效可用,有需要的可以验证下  ,如有不对  欢迎拍砖 :)

本文出自 “微所欲为――微生活” 博客,谢绝转载!

你可能感兴趣的:(漏洞,xss,Magento)