请帮忙测试这个帖子中的 XSS 是否有效

2023-01-12 00:36:20 +08:00
 zhengjian
https://v2ex-gist-be9kzurst6pk.runkit.sh/js

https://gist.github.com/1/1http<-点击这个按钮试试 https://gist.github.com/1/1


如果多人测试有效,就需要麻烦 @Livid 尽快修复了。


另外,上次分享了一个利用 CSRF 切换夜间模式的帖子,站长已经修复:





如果有效的话我在附言中分享一下发现过程。
1853 次点击
所在节点    信息安全
10 条回复
MossFox
2023-01-12 00:40:27 +08:00
确认有效 (移动端 Safari)
learningman
2023-01-12 00:44:04 +08:00
it works
@livid
phithon
2023-01-12 00:48:32 +08:00
围观
h0099
2023-01-12 00:53:43 +08:00
经典 jsonp


4ark
2023-01-12 01:21:19 +08:00
nb
jingfelix
2023-01-12 01:27:16 +08:00
确认有效,安卓 Edge + PC Chrome
SteveZou
2023-01-12 05:18:38 +08:00
确认有效,ios Safari
@livid
Jamari
2023-01-12 07:28:03 +08:00
又没事,反正后端还是很严格
Livid
2023-01-12 07:51:35 +08:00
谢谢。暂时将这个按钮的功能去掉了。
godblessumilk
2023-01-15 13:20:38 +08:00
@Jamari xss 攻击可以盗取 cookie

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/908287

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX