OpenCart 2.3オンラインストアにXSSプロテクションを追加する方法

Question

Amazon Web ServicesでOpenCart 2.3がホストされています。 GoogleではXSSからの保護策を講じました。つまり、AWSセットアップでXSS保護を有効にしました。 Google Chromeの上では、私たちのヘッダが表示されます。私は一つの試験は、チェックアウトのコメントで次のように入力することでした

X-XSS-Protection:1; mode=block 

：チェックアウト時に

<html> 
<script>Alert('hello world')</script> 
</html> 

、何の警告は、スクリプトがやった意味、表示されませんでした実行しないでください？データベースをチェックして、タグがエンコードされていることを確認しました。たとえば、<として保存されています。>これは、当サイトがXSSから保護されていることを意味しますか？

は、他のどのような手順我々は完全にX-XSS-Protectionヘッダがあなたはそれがないと思う何をしませんXSS

Answer 1

から保護するために取ることができます。 SOの概要は、What is the http-header "X-XSS-Protection"を参照してください。しかし、tl; drは、IE8 +で何らかの動作を可能にするということです。

より広く言えば

---

、XSSは、それの性質上、あなたは、単一のアクションでから保護できるものではありません。いくつかのユーザ入力を受け取るたびに、あなたが望むフォーマットを尊重することを慎重に検証する必要があります。ユーザにその入力を提示するときはいつでも、それを適切に処理しなければならないので、悪意のあるスクリプトそのユーザーのコンテキストでは実行されず、が悪いものがあります。

OWASPは素敵なリソースであるXSS prevention cheatsheetを持っています。

しかし、原則として、表示される領域に応じて、ユーザーが入力した入力をエスケープしてください。たとえば、ユーザーがショッピングアイテムのタイトルのテキストを入力した場合は、のテキストがのようになり、のテキストがのテキスト（例：inlineのいずれか）を必要とするHTML要素で使用されているHTMLエスケープされたものなどです。一方、ユーザーがURLを提供している場合は、URLが有効なコンテキスト（たとえば、画像のソースとして）およびURLエスケープのコンテキストで使用する必要があります。ユーザーが独自のHTML、CSS、またはスクリプトを提供することを避ける。あなたはOpenCartを使用しているので

---

CSSなど、スクリプトでユーザーが指定する値を入れないよう最後に、あなたは他の人がすでに行っている作業の負荷の恩恵を受けています。あなたが何か特別なことをしてフレームワークの内側の部分で遊んでいない限り、あなたはおそらく深い海にぶつからないでしょう。もちろん、フレームワーク内の規約に従ってください。