[Vulnerabilities] 通过DynlantRD实现XSS攻击

serrer6 / DynlantRD

一个适用于前端页面的轻量级“富文本”渲染器。 A lightweight front-end page "Rich Text" renderer.

GNU General Public License v2.0

2 stars 1 forks source link

Closed serrer6 closed 6 months ago

serrer6 commented 6 months ago

简介：今天大脑突然闪了一下，回去又审阅了一遍源代码。发现按照现在的处理逻辑，是直接将文本插入HTML。后经证实存在XSS攻击的风险

解决方案：在插入前使用JavaScript进行HTML转码

serrer6 commented 6 months ago

已修复，可以设置setting {safely:{xssfilter:true}} 因为一般情况下不用开启。因此，添加一个设置可以选择开启。