安全最佳实践

如果打算开发插件或为Matomo(以前的Piwik)核心有贡献您的代码必须是安全的

本指南包含要打击某些漏洞的方法列表。在努力解决您的插件或贡献时,请遵循所有这些。

防止XS

XS.是将恶意脚本(如JavaScript)注入用户界面。它可以让攻击者获得应用程序的控制权或窃取信息。

攻击者可以通过以下方式实现:

  • 在数据中存储恶意脚本(如Matomo的网站名称)
  • 将恶意脚本传递为HTTP请求参数/数据

通过获取请求参数常见的:: getRequestvar()

在PHP代码中,如果需要访问$ _get.或者美元邮政总是使用常见的:: getRequestvar()

getRequestVar()将消除请求变量。如果攻击者通过包含的字符串