@lincanbin

如何复现？

你构造一个路径或者页面来攻击我试试？

在插入话题的地方

回复#3 @赋辰网 :

如何利用来进行攻击？

如果不能的话，那也不叫XSS攻击，而是跟自己用F12开发者工具修改页面自己玩一个性质。

好吧，上报一个Bug还被批。。

小心被提取cookie

楼上正解

回复#6 @strwei :

然而Cookie是HTTP Only的，从截图就可以看出，登录后增加的Cookie并不可能被JavaScript所捕获。

至于Bug也说不上，因为这个本质上跟自己开开发者工具修改页面是一样的，不会有任何影响，也谈不上bug。

@lincanbin

我是觉得确实有这个问题。这属于反射型 xss，虽然比较鸡肋，但不能否认这个问题的存在。

在添加话题的地方，输入 HTML 代码回车，没有过滤。

按理说这里应该用 $.text 而不是 $.html 了。

回复#9 @oott123 :

这个无法构造链接进行反射吧。

不过语义上确实也错了，确实应该是text。

回复#10 @lincanbin :

手动反射也是射

回复#11 @oott123 :

跨站脚本攻击，这个根本攻击不了呢。

怎么能算跨站脚本攻击呢？

而且我Cookies也加了HTTP Only，根本取不出来。

https://github.com/lincanbin/Carbon-Forum/commit/9c60d22056779d9ce041033983e3d234f54b2638

make then happy