发现前端的textarea可以执行javascript脚本。

刚才我试了一下发现可以在文章编辑中执行js脚本，发现介个东西有点危险，虽然俺们不会干那些黑客的事情！

<script>document.write("danhuang");</script>

jaicc 1楼•12 年前

弱弱的问下，过滤功能开了没？？？

论坛遇到过两个页面因为 HTML 没按 Markdown 标记结果运行了 <script> 挂掉的… 提交到 issue 了, 挺危险的感觉

huangdh3 3楼•12 年前作者

这，赶紧把这个js执行删除~

narutolby 4楼•12 年前

这是xss漏洞，非常危险，可以获得用户的cookie

narutolby 5楼•12 年前

这是xss漏洞，非常危险，可以获得用户的cookie

peakzhuqq 6楼•12 年前

不好意思，我不知道怎么删除

huangdh3 7楼•12 年前作者

旁边有一个删除按钮~把那个回复删除了~

huangdh3 8楼•12 年前作者

大家进入这个页面可以写一个update用户资料的js代码，每个用户一进入就可以把个人数据改个彻底~包括他的密码！

huangdh3 9楼•12 年前作者

@suqian 赶紧看下~

已处理