2 cyp18408251336 cyp18408251336 于 2016.04.10 17:00 提问

刚刚发现CSDN一个有趣的现象,类似XSS漏洞,求大神解释下

我提了一个问题,谢了一段html代码进去
这是问题图片
点进问题后的效果,html被浏览器解释了
这是问题点进去后显示效果
我同样在QQ空间写了一个说说,却没有被浏览器解释
发的说说截图
求大神告诉我以后要怎么避免浏览器解释代码

2个回答

showbo
showbo   Ds   Rxr 2016.04.10 19:16
已采纳

问答编辑器就是这个鸟样,代码需要用</>这个格式化下才会显示原始代码,要不就会解析,不过不会有xss,js相关代码和处理函数被去掉了

cyp18408251336
cyp18408251336 嗯嗯,确实是这样的
一年多之前 回复
pppploi8
pppploi8   2016.04.10 22:06

保存进数据库前转义下,比如<替换成<之类的
←_←如果是第三方富文本编辑框出来的数据就蛋疼了...不太会处理...因为很容易误伤到不需要格式化的html代码,一般来讲还是[b]这种自定义标签好处理一点

cyp18408251336
cyp18408251336 回复pppploi8: 所以说。。。问的问题居然直接被编译了。。。。
一年多之前 回复
cyp18408251336
cyp18408251336 嗯嗯,好主意,不过楼上先回答的就给他喽,抱歉
一年多之前 回复
pppploi8
pppploi8 ←_←csdn居然没转义&符号么....居然直接出来就是<
一年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片