Security 忘记密码中的XSS

使用POST HTTP方法，站点扫描程序发现：

• 以下资源可能容易受到跨站点脚本（扩展模式）的攻击：
• /customer/account/forgotpasswordpost/CGI的“email”参数： /客户/账户/放弃PasswordPost/[email=508 src=http://www.example. com/508.js]

---

就我所看到的代码而言，Magento将_GET/_POST设置为senitize。如何修复此问题？

我想这将取决于您运行的Magento版本。有关模板的默认位置可在

app/design/frontend/base/default/template/customer/form/forgotpassword.phtml

中找到。用户可编辑的唯一回显到屏幕上的值是电子邮件地址，当然在Magento 1.6中，这是通过template blocks htmlEscape方法传递的，但值得检查它是否在您的Magento版本中

<input type="text" name="email" alt="email" id="email_address" class="input-text required-entry validate-email" value="<?php echo $this->htmlEscape($this->getEmailValue()) ?>" />