初步试验发现 validator的xss()函数可以过滤掉xss攻击 - CNode

试过了, 能把 [[[[[[[[[@snoopy](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy) 的关于cnodejs官网的XSS和CSRF里的“传送门”链接完美过滤掉，而不破坏文章的正常格式代码。这不就实现了反XSS吗?

j4cnodejs 1楼•2年前

@snoopy 你试试 validator的xss()吧! 通过这个xss()处理的文章内容, 你还能找出漏洞破解注入吗?

DoubleSpout 2楼•2年前

老雷，上qq说把，这里不是论坛。

j4cnodejs 3楼•2年前

@snoopy 我不是雷, 告诉我QQ?

DoubleSpout 4楼•2年前

@j4cnodejs 53822985~擦，那你头像还用老雷的，我还以为他自问自答呢？他又发现漏洞了？

j4cnodejs 5楼•2年前

@snoopy 头像是他,O(∩_∩)O哈哈哈~

leizongmin 6楼•2年前

@j4cnodejs 你这样是不道德的 enter image description here

j4cnodejs 7楼•2年前

@leizongmin 这就是群众很生气的后果啊

dead-horse 8楼•2年前

@j4cnodejs 现在的XSS漏洞应该是这个markdown惹出来的，因为md需要生成标签，所以不会走validator的xss()进行过滤。

j4cnodejs 9楼•2年前

何不在markdown生成HTML代码后,再 xss() 之? xss()可以过滤掉危险脚本,而不破坏安全的标签

回到顶部