向cnode社区所有会员和管理员致歉
发布于 2年前 作者 DoubleSpout 3544 次浏览 最后一次编辑是 17天前 来自 分享

@leizongmin @suqian 在我写了一篇如何XSS注入攻击的文章之后,老雷这货顿时来了兴趣,于是社区一下子就被自动回复,弹窗等等充斥了。 我和老雷并不是为了炫耀,苏大大你误会了,我相信其他的cnode网友也不会去利用这些漏洞去做破坏cnode社区的事情,毕竟这里我们node.js的家。

我当初写这篇文章的初衷是为了引起大家对xss漏洞的重视,当时我在hujs分享上问了一个问题:在坐有多少人了解XSS,举手的不到3成。可见xss注入漏洞被很多互联网公司忽略了,而这类漏洞其实是不能小视的,小到可能被人恶搞,大到可能直接影响公司的项目成败。

但是我在做这件事情的时候犯了一个低级错误,应该先等cnode修复这类漏洞再发表出文章的,而老雷这货又非常2,一直搞的兔子满站点飞。

其实一些漏洞我们都已经pull-request过了,但是可能正好hujs的召开所以没有及时修复。

老雷也是好玩,绝非又恶意的,请苏大大和全体cnode会员原谅我们把,我和老雷一定洗心革面重新做人,我们犯下的错误我们会尽力弥补,尽力去修复cnode社区的漏洞。

再次向广大cnode的网友表示歉意,接下来可能我要专注win8的C#和HTML5开发了,nodejs会来的少些,希望大家继续活力四射啊。

11 回复

鼓掌! 我也相信你们不是恶意的, 何况知错就改还是好同志嘛! 可是你别走啊, 我们知道.NET下有很好用的 Microsoft AntiXSS 库可用, 你这不是肇事逃逸吗? 赶紧把 js 下的Anti XSS 库给弄出来! 我先请教一个问题: 要清理HTML Tag, 除了把onXXX 事件过滤掉, 还有哪些属性也是危险的? 目前我知道的只有 src, href, 还有啥?

不会走的啊,我们准备用C#+JS+HTML5配合后端的node.js的socket.io开发win8的应用试试,不可能走的啊,我一直在的,只是接下里会忙了~ 我之前已经说过啦,过滤XSS不要用黑名单,用白名单,只放过合法的,其他一律不过

那采用 “可视化编辑器” 发表文章和回复的网站咋办? 比如用常见的FCKEditor, BaiduEditor, TinyMCE 等等, 我们CMS都采用这种啊

记得当时第一个发现就给大家说了下~我觉得我也不应该发帖说有个啥啥的~唉!

@snoopy 没事,我也只是想表达一下我们应该如何参与开源项目。 期待你的win8应用开发分享。

其实既然是论坛应该支持bbcode,html标签神码还有被转义的标签神码的都该被过滤掉。

cnode不是用的markdown么?

内部人搞飞机总比被外部人搞飞机好吧? XSS 的确需要非常重视滴

Markdown 比 bbcode 简洁多了. 其实我搞不懂为什么用 md 了还有编辑器…

UBBCode 如果你用[img] 和[url], 后台不对链接地址过滤的话, 照样可以xss攻击

strong text目前<html>标签是被escape的吧?

回到顶部