search

jqhph / dcat-admin

🔥 基于 Laravel 的后台系统构建工具 (Laravel Admin),使用很少的代码快速构建一个功能完善的高颜值后台系统,内置丰富的后台常用组件,开箱即用,让开发者告别冗杂的HTML代码
http://www.dcatadmin.com
MIT License
3.9k stars 713 forks source link

Show/Field Json() XSS脚本过滤 #2140

Closed hiccup711 closed 1 month ago

hiccup711 commented 1 month ago

如果 Json 字段中存在 xss 执行脚本,会被直接渲染 html 执行。

复现: "[\"<sCRiPt sRC=\\/\\/code.jquery.com/jquery-3.7.1.min.js><\\/sCrIpT>\"]"

由于是 

 标签渲染,这里的 js 脚本直接被浏览器加载

image

这里直接阻断了后续的 html 渲染

image
PorygonCN commented 1 month ago

已合并到主代码 直接使用json()方法即可