Closed YouXam closed 2 years ago
可行的解决办法:关闭 html 显示
将 src\lib\mixins\markdown.js 的第6行从html: true,
修改为html: false,
漏洞出现的原因可能是没有做好 xss 过滤
默认不开启XSS防御,可以参考如下方式启动: https://github.com/hinesboy/mavonEditor/issues/472#issuecomment-758533523
v2.10.0版本已经默认开启,该漏洞在2.8.2就已经修复,关闭issue
Bug 报告
编辑器在编辑模式下存在xss漏洞, 尚不清楚预览模式是否存在。
直接使用 markdown-it 渲染不会出现此漏洞, 可能是 markdown-it 版本过低
重现
编辑模式下, 在编辑框输入
将会出现弹窗
可能的解决方案
更新 markdown-it
希望尽快修复