GET、POSTおよびwindows.locationは、WordpressテーマのXSSに対して脆弱ですか?
クライアント用にWordpressテーマを作成しました。脆弱性スキャナーでテーマをスキャンしたため、GETメソッドとwindows.locationメソッドにセキュリティ上の問題があるとのことでした。これは本当に安全ではありませんか?どうすればこれを修正できますか?エラーは次のようになります:
Risk Factor:
Medium / CVSS Base Score : 4.3(CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N)
Output:Using the GET HTTP method, the scanner found that:
+ The following resources may be vulnerable to cross-site scripting (quick test) :
+ The 'product_quantity' parameter of the /pink-drool-proof-bib/ CGI :
/pink-drool-proof-bib/?product_quantity=--><script>alert(112)</script>
Thanks
純粋なWordpressテーマ(つまりCSSのみ)を作成した場合、通常は問題はありません。問題は、GETパラメーターproduct_quantityは、出力を適切にサニタイズせずにページに直接表示されます。これは、JavaScriptをパラメーター内に配置すると、JavaScriptがページに読み込まれ(表示されているとおり)、スクリプトが実行されることを意味します。
これで、windows.locationを使用してWebページに変数を表示する場合、出力する前にこれらをサニタイズしないため、ページがXSSに対して脆弱になる可能性があります。
詳細については、 [〜#〜] owasp [〜#〜] を参照してください。