四望亭

By CHEN at 2006-08-17 • 0人收藏 • 1626人看过

htthttp://se.21cn.com/UploadedImages/052175dd-1f91-49c9-891b-1a5da7ed5e88.jpgp://se.21cn.com/UploadedImages/79764f67-2141-4757-9157-05b7501dbd0d.jpg

5 个回复 | 最后更新于 2018-02-05

abccba

2018-02-03 #1

挖坟

abccba

2018-02-03 #2

好大的一个漏洞，这应该是style属性没过滤，现在写个绝对定位都能在页面插广告了吧。

lincanbin

2018-02-04 #3

回复#2 @abccba :

是的，没过滤，但是字体大小属性还能过滤吗？

abccba

2018-02-05 #4

回复#3 @lincanbin :

编辑器基本排版功能就足够使用了吧，我认为应该不允许用户直接编辑html，或者容器超出内容隐藏也是可以的。

lincanbin

2018-02-05 #5

回复#4 @abccba :

反正看到这种用户封号就好了。

危险属性我都过滤了。

https://github.com/lincanbin/White-HTML-Filter

我写的这个过滤库也是支持Style再细分的CSS属性过滤的，就是懒得做了。

登录后方可回帖

登录

信息栏

Carbon Forum是一个基于话题的高性能轻型PHP论坛

下载地址：Carbon Forum v5.9.0
QQ群：12607708（QQ我不常上）

donate

手机支付宝扫描上方二维码可向本项目捐款

粤公网安备 44030602003677号
 粤ICP备17135490号

Loading...

Carbon Forum Powered By © 2006-2018 Carbon Forum V6.0.0 论坛统计
Processed in 6.388 ms, 4 SQL Query(s), 466.47 KiB Memory Usage