【已处理】文章评论系统渲染用户评论时候可注入js代码

whq731 2013-10-21 10:54:31

http://www.csdn.net/article/2013-10-17/2817211-the-future-fabric-of-data-analysis/2

不知道是不是个bug 发表评论时如果写<script>****</script>
可以被执行
估计没对html标签做限制

...全文

129 6 打赏收藏转发到动态举报

写回复

用AI写文章

6 条回复

切换为时间正序

请发表友善的回复…

发表回复

whq731 2013-10-22

打赏
举报

引用 5 楼 xuehengyang 的回复:

谢谢你的反馈！已修复了。

OK~

渔舟唱晚，雁阵惊寒 2013-10-22

打赏
举报

谢谢你的反馈！已修复了。

渔舟唱晚，雁阵惊寒 2013-10-21

打赏
举报

谢谢你的反馈，我马上转交给相关人员

whq731 2013-10-21

打赏
举报

如果被利用劫持用户cookie 也很可怕

whq731 2013-10-21

打赏
举报

如果这个bug 被利用阻碍用户浏览每个新闻页面被不同的小号打上几百个alert("广告")；我想非chrome用户会带来噩梦一般的体验希望CSDN越来越好

通俗易懂的ThinkPHP文章发布系统源码（前台+后台）主要是后台可以实现文章的非常方便的发布。 ThinkPHP框架+百度UEditor编辑器实现.具体使用方法参考ruby97的CSDN博客

昨天看到一篇文章《hacking throung images》，里面介绍了如何在BMP格式的图片里注入JS代码，使得BMP图片既可以正常显示，也可以运行其中的JS代码，觉得相当有趣。执行JS注入的脚本关键：构造符合正常BMP格式的图片步骤 1. 将原BMP文件的第三，第四字节替换为\x2F\x2A，对应js中的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...

书签（Bookmark）是浏览器中用来快速访问用户经常访问网页的功能。用户可以通过点击浏览器提供的书签按钮，将当前的网页地址保存到书签列表中。在需要时，用户可以随时点击书签，浏览器会加载对应的网页地址，快速呈现页面内容。这种方式，简化了用户的网页访问流程，尤其对频繁访问的网站或页面，极大地提高了效率。此外，现代浏览器还支持对书签进行编辑，允许用户给书签添加自定义的名称，描述和标签，以增强其易用性和功能性。

先摘抄一下微信官方文档：优化小游戏的启动性能，很明显需要降低启动时序中的各个步骤耗时。常规的优化思路往往是两步：拆分代码包，精简首包资源，使得首包只存首屏图片和一个加载进度条及相关代码；使用分包加载。根据小游戏的启动时序，会发现，降低代码包资源会减少了代码包下载，以及在某种程度下降低JS注入耗时。然而，即使启动优化到这一步，很多小游戏依旧得不到理想的分数。因为使用引擎开发的小游戏，即便只留首包必要资源，也会保留引擎代码，这无非会增加很长时间的JS注入耗时，以及首屏渲染耗时也未得到

但是，如果你绑定的是不受信任的内容，请确保在插入HTML之前进行适当的验证和转义，以确保应用的安全性。在Vue中，可以使用v-html指令来渲染包含HTML代码的字符串。在上面的示例中，我们定义了一个Vue实例，并将其绑定到id为"app"的元素上。在Vue的data选项中，我们定义了一个名为htmlCode的变量，它包含了一个包裹在。要使用v-html指令，首先需要在Vue实例中定义一个包含HTML代码的字符串变量。然后，将这个变量绑定到需要渲染HTML的元素上，使用v-html指令。

客服专区

604

社区成员

48,760

社区内容

发帖

与我相关

我的任务

其他技术论坛（原bbs）

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章

【已处理】文章评论系统 渲染用户评论时候可注入js代码

【已处理】文章评论系统渲染用户评论时候可注入js代码