今天上班发现头像被人篡改, 变成一个低俗图像, 鄙视之! 小人!

今天fork nodeclub, 把漏洞补了!

@young40 是跟cnodejs没关系,但是我的头像链接地址被人篡改了

@leizongmin 这么简单的修改, 我就不动手啦~~我前面的帖子里已经写得很清楚了, 在 GitHub 里也发了Issue

@leizongmin https://github.com/cnodejs/nodeclub/issues

@suqian 头像也变成兔子了?

什么侧漏? 我这里貌似显示很正常

##测试一下安全的HTML标签 一下结果来自Google搜索

javascript this详解（转） - 独自莫凭栏- 博客园 www.cnblogs.com/felix2007/archive/2007/…/682670.html - 网页快照2007年3月21日 – 不过这里其实可以写任何合法的JavaScript语句，要是高兴在此定义个类也可以(不过将会是个内部类)。这里的原理是脚本引擎生成了一个div实例 … [图解] 你不知道的JavaScript - “this” - JavaScript - yaosansi’s Blog www.yaosansi.com/post/1263.html - 网页快照2008年4月21日 – JavaScript 里的this 到底指得是什么？很多人都会告诉你this 指的是当前对象。这样理解对么？在大多数情况下确实没错。比如我们经常会在网页上 … Javascript this关键字使用分析javascript技巧脚本之家 www.jb51.net › 网络编程 › JavaScript › javascript技巧 - 网页快照这是来自http://www.quirksmode.org/js/this.html这篇文章里对this的定义，直接看定义似乎什么也不知道，下面通过实例来说明各种情况下this所指代的对象以及原理。

@leizongmin 看到了,谢谢!

@snoopy 看了一下源代码, 应该是原xss攻击脚本被sanitize().xss()后, 残余的代码导致页面html混乱. 对于安全的标签问题不大, 至少防住了攻击!

@leizongmin 加油,继续测试,找出新的漏洞,我们好学习,好修复!

@leizongmin 恭喜你,你又成功了! 快说漏洞在哪里

举个例子!

@leizongmin 研究一下 validator 的 xss() 源码, 找找对策

@leizongmin 删除了script标签, onload, href, onXXX事件它也都去查的

@leizongmin 那如果在xss()基础上再过滤掉 $.getScript 呢? 就是禁止从外部获取 js

@leizongmin 对, 过滤所有标签的on事件, 这个要反馈给validator作者

问题找到了: validator@0.4.11 最新版, xss.js Line 150: 它虽然有过滤事件处理的机制, 但是它只替换第一个找到的匹配…无语

str = str.replace(new RegExp("<([^><]+?)("+event_handlers.join('|')+")(\\s*=\\s*[^><]*)([><]*)", 'i'), '<$1$4');

把 ‘i’ 改成 ‘gi’ 是否可以解决? @snoopy, @leizongmin ?

我看着心急, 我git新手, 还不知道怎么使用 fork - pull request 那一套啊, 谁来教教我

@leizongmin 你这段html怎么裸奔了? 早上不是这样的啊

@jiyinyiyong Thank u!