防止Magento中的XSS攻击

Question

我已经创建了一个.phtml和一个用于从Magento EE中的cms页面中的数据库获取数据的模型。它基本上从数据库获取关于城市的数据，就像谷歌搜索一样，参数被传递给url并获得结果并显示在页面上。

现在，出于安全原因，我在其上应用XSS时出现问题。我想对此我用下面的代码

$formKey  = $this->getRequest()->getParam('formKey'); 
    if($formKey != Mage::getSingleton('core/session')->getFormKey()){ 
     exit; 
    } 

但增加这并没有为我工作，以防止它XSS攻击。当我在cms页面调用模板文件时执行退出。

任何帮助将在这方面高度appriciated。在此先感谢

Answer 1

你被人误解与XSS和CSRF，你要实现的目标是保护CSRF攻击，

您可以通过调用_validateFormKey（）方法

if (!$this->_validateFormKey()) {  

     exit();    
} 

CSRF保护