1.4K Star 14K Fork 11.1K

若依 / RuoYi-Cloud

 / 详情

XSS问题

已完成
创建于  
2022-07-25 15:56

攻击脚本:

处理前:
<img src=1 onerror=alert(/x/)>
处理后:(这是一个错误的JSON)
<img src=\"1" />

报错:JSON parse error: Unexpected character (‘/‘ (code 47)): maybe a (non-standard) comment
原因:经过HTML对标签的参数进行处理时,没有处理好结束符

处理方案:
将HTMLFilter中的390行

params.append(' ').append(paramName).append("=\\\"").append(paramValue).append("\"");

改成

params.append(' ').append(paramName).append("=\\\"").append(paramValue).append("\\\"");

评论 (1)

Pcat 创建了任务
Pcat 修改了描述
Pcat 修改了描述
Pcat 修改了描述
Pcat 修改了描述
展开全部操作日志
若依 任务状态从 待办的 修改为已完成

登录 后才可以发表评论

状态
负责人
里程碑
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
开始日期   -   截止日期
-
置顶选项
优先级
参与者(2)
1151004 y project 1578942802 696967 huyup 1578931012
Java
1
https://gitee.com/y_project/RuoYi-Cloud.git
git@gitee.com:y_project/RuoYi-Cloud.git
y_project
RuoYi-Cloud
RuoYi-Cloud

搜索帮助