发现前端的textarea可以执行javascript脚本。
发布于 9 年前 作者 huangdh3 6061 次浏览 最后一次编辑是 5 年前

刚才我试了一下发现可以在文章编辑中执行js脚本,发现介个东西有点危险,虽然俺们不会干那些黑客的事情!

<script>document.write("danhuang");</script>
10 回复

弱弱的问下,过滤功能开了没???

论坛遇到过两个页面因为 HTML 没按 Markdown 标记结果运行了 <script> 挂掉的… 提交到 issue 了, 挺危险的感觉

这,赶紧把这个js执行删除~

这是xss漏洞,非常危险,可以获得用户的cookie

这是xss漏洞,非常危险,可以获得用户的cookie

不好意思,我不知道怎么删除

旁边有一个删除按钮~把那个回复删除了~

大家进入这个页面可以写一个update用户资料的js代码,每个用户一进入就可以把个人数据改个彻底~包括他的密码!

@suqian 赶紧看下~

已处理

<script>document.write(“已经处理”);</script>

回到顶部