**针对XSS攻击的安全措施** 为了防止XSS问题Magento的建议转义在模板中的HTML内容的规则如下: 如果一个方法指示的内容被转义,不要逃避:getTitleHtml(),getHtmlTitle()(标题已准备好进行HTML输出) 使用$块级> escapeHtml(),$块级> escapeQuote(),$块级> escapeUrl(),$块级> escapeXssInUrl逃生数据()方法 类型转换和PHP函数count()不需要转义(例如回波(INT)是$ var,回声(布尔)是$ var,回声计数($ VAR)) 在单引号输出不需要转义(例如回声“一些文本”) 输出在双引号不变量并不需要转义(例如回声“一些文本”) 否则,使用$块级> escapeHtml()方法逃脱数据 下面的代码示例说明了模板的XSS安全输出: