发现前端的textarea可以执行javascript脚本。

刚才我试了一下发现可以在文章编辑中执行js脚本，发现介个东西有点危险，虽然俺们不会干那些黑客的事情！

<script>document.write("danhuang");</script>

弱弱的问下，过滤功能开了没？？？

论坛遇到过两个页面因为 HTML 没按 Markdown 标记结果运行了 <script> 挂掉的… 提交到 issue 了, 挺危险的感觉

这，赶紧把这个js执行删除~

这是xss漏洞，非常危险，可以获得用户的cookie

这是xss漏洞，非常危险，可以获得用户的cookie

不好意思，我不知道怎么删除

旁边有一个删除按钮~把那个回复删除了~

大家进入这个页面可以写一个update用户资料的js代码，每个用户一进入就可以把个人数据改个彻底~包括他的密码！

@suqian 赶紧看下~

已处理