drupal跨站点脚本（反映）

站点已在OWASP ZAP测试工具中运行，出现跨站点脚本错误。 请分享一些修复XSS问题的技术

URL:example.com/sites/javascript:alert（1）/模块/lightbox2/js 参数：全部

此工具不提供以下信息
1.在哪个地方/哪个文件可能发生黑客攻击

---

请建议如何修复XSS问题

看起来注入可能位于链接href、iframe src或处理URL重定向的其他位置内。如果看不到反射在页面的源代码或生成的源代码（DOM）中的位置，就很难判断

一般的建议是让应用程序从用户输入中删除javascript：（以及各种编码方式，如URL、HTML等）。

我不知道，模块中“javascript:alert（1）；”这个词在哪里。因为我上传的模块是第三方contri模块。javascript:alert（1）通过URL注入，并反映到页面的源代码或DOM中，而不是模块的一部分。更可能的是，URL的这一部分（看起来像restFUL URI）被放置在类似或的位置。我尝试将它们放在代码块中，但由于某种原因，我无法格式化这些响应，并且按enter键提交响应，而不是按一行。