有无 dalao 知道昨晚微赞被封用的是哪个插件？

很多混合开发的程序是原生+网页，而网页要与原生部分交互就必须要启用 js，所以是可以被 xss 的。

吓死我了我以为有赞被封了

微赞 xss 不是一次两次了，并且他们的程序员修复 每次都是表层修复，就是你怎么出现的 xss 他就怎么修，从来不会想到别的情况。一个位置可以被重复转义的 x。。别问我为什么。你们懂的。

@smallgoogle 大佬，NB。

@b821025551b 我遇见过的 XSS 问题，入口除了 URL 带参或存入库的内容外，就没了，也想不到还有什么方法可以这样大规模注入。如果是通过 html+js 与原生交互所产生的“漏洞”，那知道这洞的人应该很熟悉源码吧，而且退一步说这也不是第三方插件的问题啊~

6

@smallgoogle 难不成还真的有原生+htmljs 混合做大项目的？ url 带参注入还可以理解一下，如果是让用户填写 html 内容的话不应该严格过滤 html 码？未进去过他们的直播室不知道有啥功能，也不是很懂有什么办法可以做到这样大规模的注入（纯属求学 doge ）

@raysonlu 有些是转储型的 xss 比如昵称 签名这些。没过滤完整就会被触发。url 参数这些属于很低级的 xss 一般 chrome 浏览器本来就有防 xss 的机制 很低级的 xss 代码 会被 chrome 拦截掉。