DedeCMS站点全场景防XSS攻击配置标准操作指南

XSS攻击对DedeCMS站点的危害与风险成因

存储型XSS攻击定义

存储型XSS是指恶意脚本通过站点留言、评论、会员注册、内容投稿等入口存入站点数据库，当其他用户访问被注入的页面时，恶意脚本自动执行，可窃取管理员Cookie、篡改页面内容、跳转钓鱼网站，是DedeCMS站点危害最高、最常见的XSS攻击类型。

DedeCMS站点XSS风险核心成因

DedeCMS作为发布超过15年的开源内容管理系统，旧版本（V5.7及更早版本）默认未对用户输入做全局过滤，仅部分核心模型开启了基础过滤，后台自定义字段、留言模块、会员中心等入口常被安全配置遗漏。据国家信息安全漏洞共享平台（CNVD）统计，2018-2023年公开的DedeCMS漏洞中，XSS类漏洞占比达32.7%，是占比最高的漏洞类型。

DedeCMS核心入口XSS防护配置步骤

开启系统全局输入过滤功能

DedeCMS官方自带基础XSS过滤功能，多数版本默认处于关闭状态，操作指令如下：

• 登录DedeCMS网站后台，进入系统->系统基本参数->其他选项
• 找到「过滤恶意代码」配置项，将参数值修改为1（开启状态）
• 点击「保存」按钮完成配置，该配置会对所有前台用户提交的内容进行基础脚本标签过滤

对于V5.6及更早无后台配置选项的版本，可手动修改核心配置文件，打开站点根目录下data/common.inc.php，添加如下代码：

``` $cfg_allowxss = 0; ```

自定义字段XSS过滤配置

DedeCMS自定义字段是XSS注入高发入口，默认不开启输入过滤，需要手动添加规则：

• 进入后台核心->频道模型->内容模型管理
• 选择需要修改的模型，点击「字段管理」，对所有允许前台提交的自定义字段进行编辑
• 在「数据处理类型」选项中，选择「HTML文本」或「字符串」，禁止选择「允许php代码」选项
• 在「数据处理函数」输入框添加过滤规则：htmlspecialchars，保存配置即可完成过滤

留言、评论模块漏洞修复配置

前台留言、评论模块是XSS注入的核心入口，旧版本DedeCMS该模块存在未过滤漏洞，操作指令：

打开网站根目录下/plus/guestbook.php文件，找到用户内容接收代码部分，添加过滤函数，修改后代码如下：

``` // 原接收代码 $msg = $dede->getPost('msg'); // 修改为带过滤的代码 $msg = htmlspecialchars(trim($dede->getPost('msg'))); ```

评论模块修改/plus/feedback.php，对所有接收的用户内容参数都添加htmlspecialchars()过滤处理，完成后保存上传覆盖原文件即可生效。

进阶防护：全局规则加固方案

启用云WAF专属防护规则

对于公开访问的站点，建议开启云服务商CDN自带的WAF防护，目前阿里云、腾讯云WAF都内置了DedeCMS专属XSS防护规则，启用后可拦截90%以上的自动化XSS扫描注入攻击。据腾讯云安全团队公开数据，开启WAF后DedeCMS站点XSS攻击成功概率下降95%以上。

Nginx层面添加原生防护头

对于独立服务器用户，可在Nginx配置中添加全局XSS防护头，启用浏览器原生防护能力，在Nginx站点配置块中添加如下代码：

``` add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'"; ```

添加后重启Nginx生效，该配置可强制浏览器禁止执行未授权的恶意脚本，进一步降低XSS攻击成功概率。

防护效果验证与常见问题排查

防护效果验证方法

配置完成后，可通过测试代码验证防护是否生效：在站点开放用户输入的入口（如留言板）提交以下测试代码：

``` ```

如果提交后代码被自动转义，页面没有弹出测试提示框，说明防护配置生效；如果弹出提示框，需要重新检查配置步骤排查遗漏。

常见配置问题排查

• 配置后前台内容不显示：检查是否存在转义规则重复添加，移除多余的htmlspecialchars调用即可恢复正常显示
• 自定义字段依然存在XSS风险：检查自定义字段的「数据处理类型」与「数据处理函数」，确认是否正确添加htmlspecialchars过滤规则
• 后台保存配置不生效：检查站点data目录写入权限，设置目录权限为755后重新保存配置即可

日常安全维护要求

及时更新系统到最新稳定版本：DedeCMS V5.8及之后版本官方默认开启了XSS基础防护，建议用户升级到最新版本，消除原生漏洞风险。

删除未使用的前台功能模块：如果站点不需要留言、投稿、评论功能，直接删除服务器上对应的plus模块文件，从入口彻底消除XSS注入风险。

定期漏洞扫描：每月使用权威站长安全工具扫描站点XSS漏洞，及时发现未修复的风险点。