magento XSS漏洞 介绍就不说了 百度一下 到处都是
这边简单记录下 处理过程, (比较粗暴,是否有效尚未验证)
编辑
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
文件
搜索 getCustomerEmail
有两处 输出调用
使用 htmlentities 方法过滤处理 即可 如下:
<td class="value"> <a href="mailto:<?php echo htmlentities($_order->getCustomerEmail()); ?>"> <strong> <?php echo htmlentities($_order->getCustomerEmail()); ?> </strong> </a> </td>
PS: 主要是云ECS 老提示安全问题, 如此处理后 烦人的提示就没了,至于是否有效可用,有需要的可以验证下 ,如有不对 欢迎拍砖 :)
本文出自 “微所欲为——微生活” 博客,谢绝转载!
原文:http://vsfor.blog.51cto.com/4165449/1742423