存储数据未转义 - Githubissues

thinkjs / cicada

Favorite article collections system

91 stars 28 forks source link

Closed lizheming closed 8 years ago

lizheming commented 8 years ago

存在 xss 漏洞

lizheming commented 8 years ago

默认的 nunjucks 的配置 autoscape 应该是 true，但是 ThinkJS 默认的配置变成了 false，后期版本会修改回来，目前先使用 escape 过滤器转义。

welefen commented 8 years ago

2.0.13 版本已经默认开启了 autoescape