发表文章存在存储XSS

wind226 commented 2 years ago

在文章标题写入：'"><iMg SrC=x OnErRoR=alert(1)>{{7*7}} 后台文章管理处：点击文章标题触发xss：

Cherry-toto commented 2 years ago

查看时并不会触发xss，这个应该是后台的修改功能存在未过滤问题。感谢！我去看看怎么把后台这个问题解决掉。

------------------ 原始邮件 ------------------ 发件人: "Cherry-toto/jizhicms" @.>; 发送时间: 2022年4月27日(星期三) 下午2:37 @.>; @.***>; 主题: [Cherry-toto/jizhicms] 发表文章存在存储XSS (Issue #70)

在文章标题写入：'"><iMg SrC=x OnErRoR=alert(1)>{{7*7}}

后台文章管理处：

点击文章标题触发xss：

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you are subscribed to this thread.Message ID: @.***>

Cherry-toto commented 2 years ago

再次检查，发现问题出在layui列表回显，会把HTML代码直接输出来，导致的问题。所以，可能不会修复这个问题。感谢提出来！

Cherry-toto commented 2 years ago

我再次检查了下，应该是后台layui的回显导致的问题。数据库存储时转译了这个xss代码，layui的显示会把html内容直接显示出来。暂时可以不修复这个问题，再次感谢！

------------------ 原始邮件 ------------------ 发件人: "Cherry-toto/jizhicms" @.>; 发送时间: 2022年4月27日(星期三) 下午2:37 @.>; @.***>; 主题: [Cherry-toto/jizhicms] 发表文章存在存储XSS (Issue #70)

在文章标题写入：'"><iMg SrC=x OnErRoR=alert(1)>{{7*7}}

后台文章管理处：

点击文章标题触发xss：

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you are subscribed to this thread.Message ID: @.***>

Cherry-toto / jizhicms

发表文章存在存储XSS #70