请帮忙测试这个帖子中的 XSS 是否有效

2023-01-12 00:36:20 +08:00

zhengjian

https://v2ex-gist-be9kzurst6pk.runkit.sh/js

https://gist.github.com/1/1http<-点击这个按钮试试 https://gist.github.com/1/1

如果多人测试有效，就需要麻烦 @Livid 尽快修复了。

另外，上次分享了一个利用 CSRF 切换夜间模式的帖子，站长已经修复：

如果有效的话我在附言中分享一下发现过程。

1679 次点击

所在节点

10 条回复

MossFox

2023-01-12 00:40:27 +08:00

确认有效 (移动端 Safari)

learningman

2023-01-12 00:44:04 +08:00

it works
@livid

phithon

2023-01-12 00:48:32 +08:00

围观

h0099

2023-01-12 00:53:43 +08:00

经典 jsonp

4ark

2023-01-12 01:21:19 +08:00

jingfelix

2023-01-12 01:27:16 +08:00

确认有效，安卓 Edge + PC Chrome

SteveZou

2023-01-12 05:18:38 +08:00

确认有效，ios Safari
@livid

Jamari

2023-01-12 07:28:03 +08:00

又没事，反正后端还是很严格

Livid

2023-01-12 07:51:35 +08:00

谢谢。暂时将这个按钮的功能去掉了。

godblessumilk

2023-01-15 13:20:38 +08:00

@Jamari xss 攻击可以盗取 cookie

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.