【网站安全】利用过滤代码修复跨站脚本攻击（XSS）漏洞

上篇文章跨站脚本攻击（XSS）漏洞最快捷的修复方法介绍了怎么用360网站安全通用防护脚本来修复xss漏洞和网站防护，但上个教程中新版的360网站安全通用防护脚本无法下载，老版的360网站安全通用防护脚本使用后可能会导致网站页面无权访问的问题，针对这个问题目前我还没有找到有效的解决的方法。但对跨站脚本攻击（XSS）漏洞的修复方法我又找到了一种更无脑的方法，就是用简单的过滤代码来修复跨站脚本攻击（XSS）漏洞。闲言少叙，下面我就具体介绍下这个无脑的方法。

首先我们先分析下这问题的原因，网站出现跨站脚本攻击（XSS）漏洞的根本原因是制作主题时，作者没有对搜索参数进行有效的过滤，所以有人输入恶意的代码，就有可能获取用户的Cookie，导航到恶意网站,携带木马等。

解决方法：

怎么用过滤代码解决这个问题呢？非常的无脑，我们首先可以查一查自己的主题源码，查找下是否有类似 echo $_GET[‘s’]; 这样的语句，这句代码多出现在 header.php或searchform.php。然后对echo $_GET[‘s’];进行过滤，很简单，就是把它改成echo esc_attr($_GET[‘s’]); 。如果你还是感觉不安全那还有最安全的过滤方法， 把它修改成这个echo esc_attr(esc_html($_GET[‘s’]));，简单修改后就解决了跨站脚本攻击（XSS）漏洞。

如果你找不到类似echo $_GET[‘s’];的代码，可以在主题函数模板 functions.php文件中加上以下代码：

<?php
if (isset($_GET['s'])) {
// $_GET['s'] = esc_attr($_GET['s']);
$_GET['s'] = esc_attr(esc_html($_GET['s']));
}
?>

这个我没测试，检测时间实在太长了，大家可以试试，检测一下，对网站没有影响的。

以上就是简单的利用过滤代码修复跨站脚本攻击（XSS）漏洞的方法，希望这篇教程能够帮到你，对此你有任何疑问可以和我联系。

感谢您的来访，获取更多精彩文章请收藏本站。