存在xss漏洞 - Githubissues

dromara / skyeye

智能办公OA系统[SpringBoot2-快速开发平台]，适用于医院，学校，中小型企业等机构的管理。Activiti5.22+动态表单实现零java代码即可做到复杂业务的流程实施，同时包含文件在线操作、日志、考勤、CRM、ERP进销存、项目、拖拽式生成问卷、日程、笔记、计划、行政等多种复杂业务功能。同时，可进行授权二开。

MIT License

881 stars 251 forks source link

存在xss漏洞 #12

Open Silver-Glacier opened 1 year ago

Silver-Glacier commented 1 year ago

此处代码对于scheduleTitle直接进行了.val()获取值，而不是将其直接使用html进行转义，存在XSS漏洞故可以在输入日程title的地方轻易构造xss 推荐防御：使用htmlspecialchars()函数将特殊字符转换为HTML实体

测试单位：山东大学网络空间安全学院