国产+高潮+在线,国产 av 仑乱内谢,www国产亚洲精品久久,51国产偷自视频区视频,成人午夜精品网站在线观看

webman/admin新增和修改存在跨站腳本攻擊的風(fēng)險(xiǎn)

W

問題描述

本人安裝了微問答系統(tǒng)在后臺(tái)添加數(shù)據(jù)的時(shí)候發(fā)現(xiàn)跨站腳本攻擊的風(fēng)險(xiǎn),如下圖所示:
截圖

程序代碼或配置

追到源代碼,發(fā)現(xiàn)微問答系統(tǒng)使用的是webman/admin父類的增加修改方法,如下圖所示:
截圖
截圖
截圖
截圖

問題

數(shù)據(jù)庫插入如圖顯示:
截圖

應(yīng)該是admin的curd沒有處理跨站腳本攻擊導(dǎo)致,大佬看看是不是這樣,希望能夠完善一下curd的基類方法。

1208 1 0
1個(gè)回答
walkor 打賞

webman手冊(cè)有講,入庫時(shí)不建議xss過濾,建議輸出時(shí)xss轉(zhuǎn)義過濾。
webman-admin都是在輸出時(shí)過濾的。

如果問答系統(tǒng)沒做輸出過濾,這個(gè)算是問答系統(tǒng)的bug,不是webman-admin的

  • W 2023-07-12

    好的,感謝您的解答
年代過于久遠(yuǎn),無法發(fā)表回答
??