初步试验发现 validator的xss()函数可以过滤掉xss攻击

试过了, 能把 @snoopy 的关于cnodejs官网的XSS和CSRF里的“传送门”链接完美过滤掉，而不破坏文章的正常格式代码。这不就实现了反XSS吗?

j4cnodejs 1楼•12 年前作者

@snoopy 你试试 validator的xss()吧! 通过这个xss()处理的文章内容, 你还能找出漏洞破解注入吗?

老雷，上qq说把，这里不是论坛。

j4cnodejs 3楼•12 年前作者

@snoopy 我不是雷, 告诉我QQ?

@j4cnodejs 53822985~擦，那你头像还用老雷的，我还以为他自问自答呢？他又发现漏洞了？

j4cnodejs 5楼•12 年前作者

@snoopy 头像是他,O(∩_∩)O哈哈哈~

@j4cnodejs 你这样是不道德的 enter image description here

j4cnodejs 7楼•12 年前作者

@leizongmin 这就是群众很生气的后果啊

@j4cnodejs 现在的XSS漏洞应该是这个markdown惹出来的，因为md需要生成标签，所以不会走validator的xss()进行过滤。

j4cnodejs 9楼•12 年前作者

何不在markdown生成HTML代码后,再 xss() 之? xss()可以过滤掉危险脚本,而不破坏安全的标签