Open yichinzhu opened 8 years ago
文件xadmin/templates/xadmin/base_site.html 第92行{{ message|safe }}使用了safe标记,但是message中的内容有一部分是来自用户的,比如在demo里面,新增一个IDC的时候,名字填入"><img src=a onerror=alert(document.cookie)> 再点保存就可以看到js代码被执行了,同样修改的时候也会出现该问题。 这里简单地去掉safe标记会影响message中的其他标签,需要从message的来源处进行一下转义处理,我对Django也不熟悉,就交给你来啦。
{{ message|safe }}
"><img src=a onerror=alert(document.cookie)>
mark +1
cupen
commented
7 years ago cupen
commented
7 years ago
文件xadmin/templates/xadmin/base_site.html 第92行
{{ message|safe }}使用了safe标记,但是message中的内容有一部分是来自用户的,比如在demo里面,新增一个IDC的时候,名字填入"><img src=a onerror=alert(document.cookie)>再点保存就可以看到js代码被执行了,同样修改的时候也会出现该问题。 这里简单地去掉safe标记会影响message中的其他标签,需要从message的来源处进行一下转义处理,我对Django也不熟悉,就交给你来啦。