Open xusidu opened 2 years ago
Environment Windows10 / Chrome 90 / Vue 2.6
Reproduction link https://run.iviewui.com/KYkZiKIV
What is actually happening? 根据官方文档描述 $Message.success(config) (其他同类API也存在相同情况) 其中config.content 的类型仅为string,然而实测可以接收Element string 有被XSS攻击风险 此情况由第三方安全检测机构实测,且项目中已证实
Environment Windows10 / Chrome 90 / Vue 2.6
Reproduction link https://run.iviewui.com/KYkZiKIV
What is actually happening? 根据官方文档描述 $Message.success(config) (其他同类API也存在相同情况) 其中config.content 的类型仅为string,然而实测可以接收Element string 有被XSS攻击风险 此情况由第三方安全检测机构实测,且项目中已证实