5 个回复 | 最后更新于 2018-02-05
2018-02-03   #1

挖坟

2018-02-03   #2

好大的一个漏洞,这应该是style属性没过滤,现在写个绝对定位都能在页面插广告了吧。

2018-02-04   #3

回复#2 @abccba :

是的,没过滤,但是字体大小属性还能过滤吗?

2018-02-05   #4

回复#3 @lincanbin :

编辑器基本排版功能就足够使用了吧,我认为应该不允许用户直接编辑html,或者容器超出内容隐藏也是可以的。

2018-02-05   #5

回复#4 @abccba :

反正看到这种用户封号就好了。

危险属性我都过滤了。

https://github.com/lincanbin/White-HTML-Filter

我写的这个过滤库也是支持Style再细分的CSS属性过滤的,就是懒得做了。

登录后方可回帖

登 录
信息栏

Carbon Forum是一个基于话题的高性能轻型PHP论坛

下载地址:Carbon Forum v5.9.0
QQ群:12607708(QQ我不常上)

donate

手机支付宝扫描上方二维码可向本项目捐款

粤ICP备17135490号-1

Loading...