四望亭

四望亭

By CHEN at 2006-08-17
0人收藏 • 1631人看过

htthttp://se.21cn.com/UploadedImages/052175dd-1f91-49c9-891b-1a5da7ed5e88.jpgp://se.21cn.com/UploadedImages/79764f67-2141-4757-9157-05b7501dbd0d.jpg

5 个回复 | 最后更新于 2018-02-05
abccba
abccba
2018-02-03
#1

挖坟

abccba
abccba
2018-02-03
#2

好大的一个漏洞,这应该是style属性没过滤,现在写个绝对定位都能在页面插广告了吧。

lincanbin
lincanbin
2018-02-04
#3

回复#2 @abccba :

是的,没过滤,但是字体大小属性还能过滤吗?

abccba
abccba
2018-02-05
#4

回复#3 @lincanbin :

编辑器基本排版功能就足够使用了吧,我认为应该不允许用户直接编辑html,或者容器超出内容隐藏也是可以的。

lincanbin
lincanbin
2018-02-05
#5

回复#4 @abccba :

反正看到这种用户封号就好了。

危险属性我都过滤了。

https://github.com/lincanbin/White-HTML-Filter

我写的这个过滤库也是支持Style再细分的CSS属性过滤的,就是懒得做了。


登 录


现在注册

QQ 登 录    Weibo 登 录    GitHub 登 录