你们扇贝单词这个产品的 Web 前端,自建例句是可以直接写 HTML 和 JS 的啊,从前端到后端都没转义,直接就扔数据库里了
如果用户写 JS 有问题,下次到这个单词 JS 解释器直接就抛异常,页面就白屏了
这还算好的,如果自建例句被选为共享例句(如果有这个可能的话 - 因为似乎并不是每一句都是人工筛选的,个人猜测很可能是选一批用户例句就共享给所有人了),那就是直接给用户发送恶意 JS 啊
(自建笔记还没测试,请通知相关人员也检查一下)
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.