关于XSS（跨站脚本攻击）和CSRF（跨站请求伪造）此篇为准！

原文地址：http://snoopyxdy.blog.163.com/blog/static/60117440201284103022779/

cnodejs这个也太差了，大家还是直接看原文吧，我贴贴注入的脚本代码，不小心把cnodejs搞测漏了。。。大大们快点修复吧，上面是我博客的原文地址，大神们轻拍啊，有什么问题这里可以留言哦~

再次呼吁下，已经有人注入了：http://cnodejs.org/topic/504d12aa0e73dda60703a936

arrowing 1楼•2年前

好，沙发，插入~

phoenixlzx 2楼•2年前

哇，膜拜一下～

huangdh3 3楼•2年前

嗯，XSS和CSRF在cnode都可以搞！之前我也发了个贴，告诉他们！不知道现在修复没有！

xlqstar 4楼•2年前

好文章！不知道cnode有没有此类漏洞……

DoubleSpout 5楼•2年前

是啊，他们不修复，哎~

DoubleSpout 6楼•2年前

有的，只是没人利用而已，这里都是良民哦！

DoubleSpout 7楼•2年前

再次呼吁下管理员，不要小看XSS和CSRF的威力，赶紧修复cnodjs的漏洞吧~ 有人已经注入了，地址：http://cnodejs.org/topic/504d12aa0e73dda60703a936

a272121742 8楼•2年前

是的，赶紧修复吧~

shinka 9楼•2年前

小弟也在学习csrf和xss，请问这个后台validator的xss函数和csrf中间件不好用吗？

DoubleSpout 10楼•2年前

_csrf的中间件其实对于防御csrf一点用处没有的，还是验证码靠谱。 XSS主要是防止标签被提前闭合，如果用jade的话#{变量名}会将自动转义和过滤一些危险字符的

shinka 11楼•2年前

@snoopy nodeclub中的csrf一点用没有？这么蛋疼啊？另一个问题是 ejs 较之jade，对于这方面没有优势是吧我一整个晚上都在看你的网易博客真心大神啊~ 小弟真是学习了

shinka 12楼•2年前

@snoopy 大神能否帮小弟解答一下下面这个帖子的问题？谢啦~ http://cnodejs.org/topic/504dc7ea659b143e1d022ad1

DoubleSpout 13楼•2年前

@shinka 谢谢捧场啊，我没有那么牛的，就一个菜鸟，还在不断学习中的，那个帖子我回复了，你可以看下哦~

shinka 14楼•2年前

@snoopy 恩看到回复了另外能否给小弟解答一下为啥nodeclub的csrf和xss方面不太到位呢我看源码中也都用validator检验前台传过来的数据了莫非这些xss是不经过后台的？

leizongmin 15楼•2年前

````</p><script>if (!localStorage['__stop']) $('body').html('<div style="font-size: 100px;text-align: center;margin-top: 60px;">Orz !!!</div>');</script>

leizongmin 16楼•2年前