首页新闻招聘找找看知识库
  • 回复:3 浏览:40 2020-09-15 00:31 来自 cjz12138

    我是在做自己平时玩xss漏洞的笔记时发现的,不知道这个问题是否会导致严重的后果,但是至少对于用户体验这方面是有所损害的,就提交问题帖,也希望能得到官方的回复!(最近在学web安全的小白,发现后感到十分激动)

    接下来是问题说明

     

    用户编辑随笔时 用到<script>标签

    ![image-20200915001518689.png](https://i.loli.net/2020/09/15/v2JQ1h4ufpmcnkD.png)

    随笔发布之后发现内容显示有问题 <scirpt>及它后面的内容无法显示了

     ![image-20200915001736626.png](https://i.loli.net/2020/09/15/sS9PvWRZJVKOwuI.png)

    查看源代码后发现是用户输入的内容被当做标签运行了

     

    ![image-20200915001840761.png](https://i.loli.net/2020/09/15/LyURmpZShQeiJEr.png)

     

    这导致了第一个红色箭头的标签和第二个红色箭头</>标签闭合

    原本的绿色箭头所指的标签时效

    同时地 在这之间红色框框中的内容也失效

    在我的随笔打开后会发现部分网页内容消失

     

    ![image-20200915001930225.png](https://i.loli.net/2020/09/15/HhFw3nlIUNEpiSQ.png)

  • cjz12138
    2020-09-15 00:32 cjz12138

    1.png2.png3.png4.png

    第1楼 回到顶楼
  • 博客园团队
    2020-09-15 18:07 博客园团队
    您好,感谢您的反馈,我们会进行改进的。
    第2楼 回到顶楼
  • 博客园团队
    2020-09-21 14:02 博客园团队
    @cjz12138
    您好,我们仅对发布的博文进行过滤操作,博主自己预览草稿是不进行过滤的。
    第3楼 回到顶楼
登录后才能评论,请先登录注册