初步试验发现 validator的xss()函数可以过滤掉xss攻击
试过了, 能把 @snoopy 的关于cnodejs官网的XSS和CSRF里的“传送门”链接完美过滤掉,而不破坏文章的正常格式代码。这不就实现了反XSS吗?
9 回复
@snoopy 你试试 validator的xss()吧! 通过这个xss()处理的文章内容, 你还能找出漏洞破解注入吗?
老雷,上qq说把,这里不是论坛。
@snoopy 我不是雷, 告诉我QQ?
@j4cnodejs 53822985~擦,那你头像还用老雷的,我还以为他自问自答呢?他又发现漏洞了?
@snoopy 头像是他,O(∩_∩)O哈哈哈~
@j4cnodejs 你这样是不道德的
@leizongmin 这就是群众很生气的后果啊
@j4cnodejs 现在的XSS漏洞应该是这个markdown惹出来的,因为md需要生成标签,所以不会走validator的xss()进行过滤。
何不在markdown生成HTML代码后,再 xss() 之? xss()可以过滤掉危险脚本,而不破坏安全的标签