V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

忘记对提交的评论转义,个人博客差点灵车漂移。。

  •  
  •   Ckend · 3 天前 · 1184 次点击

    最近自己用 Node.js 搭了个同步公众号的博客,然后今天有空看了下 Vue.js 的官方文档,突然想起自己博客的评论好像没有转义,开网站检查了下发现当时写的时候刚好函数写漏了,没写全,所以评论无法提交。真的是运气好。改了后在本地试了下发现真可以被 XSS 攻击时脸都黑了🌚给大家提个醒吧。

    9 回复  |  直到 2017-11-15 13:33:16 +08:00
        1
    checgg   3 天前
    <script>握草?</script>
        2
    fe619742721   3 天前
    哈哈哈,流量不大的话还好,
        3
    fe619742721   3 天前   ♥ 1
    我司的产品之前就被 OEM 的厂商请安全测试的测过,别的没问题,就是用户名可以被 XSS。。。
    这个你怕是也得加一下
        4
    jadec0der   3 天前 via Android
    也可能是无人评论🌚
        5
    geelaw   3 天前
    ……感觉很谜的一点是,为什么大家那么喜欢拼接字符串
        6
    Ckend   3 天前
    @fe619742721 感谢提醒
        7
    ihewro   3 天前
    <script>alert("OK!")</script>
        8
    wxsm   3 天前 via iPhone
    不必强制所有标签转义,node 有大把过滤 xss 的库,直接拿一个下载量多的 parse 一下就是。
        9
    a379395979   3 天前
    然而别人并没有兴趣攻击一个博客。。
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   1609 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 46ms · UTC 06:38 · PVG 14:38 · LAX 22:38 · JFK 01:38
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1