Closed serrer6 closed 6 months ago
简介:今天大脑突然闪了一下,回去又审阅了一遍源代码。发现按照现在的处理逻辑,是直接将文本插入HTML。后经证实存在XSS攻击的风险
解决方案:在插入前使用JavaScript进行HTML转码
已修复,可以设置setting {safely:{xssfilter:true}} 因为一般情况下不用开启。因此,添加一个设置可以选择开启。
简介:今天大脑突然闪了一下,回去又审阅了一遍源代码。发现按照现在的处理逻辑,是直接将文本插入HTML。后经证实存在XSS攻击的风险