Fork Me On Github

今天突然想到,虽然sql 注入不了(因为所有前台参数是使用pdo 自带的过滤,比起自己造的过滤器好多了),但是xss 攻击还是有可能的

注册表单检查

用户名注入

在用户名填入以下字符,

<script>alert(1);</script>

注册成功后,立马显示弹出框,可以注入

解决:直接对用户名保存进行转换

forum发表主题标题可以xss

标题可以 xss 攻击

主要原因:面包屑没有做转换

code标签可以xss

解决:对标签保存前进行转换

MicroBlog 内容可以xss

解决:在保存前进行转换

Blog 可以xss

  1. 标题及简介都可以在显示时转换
  2. 内容在markdown 模式下

调用方法即可

(new Parsedown())->setSafeMode(true)
点击查看全文
0 9 0