初步试验发现 validator的xss()函数可以过滤掉xss攻击
发布于 2年前 作者 j4cnodejs 1127 次浏览

试过了, 能把 [[[[[[[[[@snoopy](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy)](/user/snoopy) 的关于cnodejs官网的XSS和CSRF里的“传送门”链接完美过滤掉,而不破坏文章的正常格式代码。这不就实现了反XSS吗?

9 回复

@snoopy 你试试 validator的xss()吧! 通过这个xss()处理的文章内容, 你还能找出漏洞破解注入吗?

老雷,上qq说把,这里不是论坛。

@snoopy 我不是雷, 告诉我QQ?

@j4cnodejs 53822985~擦,那你头像还用老雷的,我还以为他自问自答呢?他又发现漏洞了?

@snoopy 头像是他,O(∩_∩)O哈哈哈~

@j4cnodejs 你这样是不道德的enter image description here

@leizongmin 这就是群众很生气的后果啊

@j4cnodejs 现在的XSS漏洞应该是这个markdown惹出来的,因为md需要生成标签,所以不会走validator的xss()进行过滤。

何不在markdown生成HTML代码后,再 xss() 之? xss()可以过滤掉危险脚本,而不破坏安全的标签

回到顶部