简要描述:只做了简单的过滤,很容易绕过。 详细说明:个人简介过滤不严,在很多地方都会调用个人简介。
<iframe/onload=alert(/xss/)> 插入以上代码别人看到你个人主页,或者看到你回答的问题时等很多地方调用个人简介的地方就会触发。写蠕虫的话,传播速度会很快。 漏洞 证明:
修复方案:
输出时要强制转义呀……
查看更多关于知乎一个存储型跨站漏洞及修复 - 网站安全 - 自的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11487