首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Forviler  ›  全部回复第 3 页 / 共 4 页
回复总数  76
1  2  3  4  
321 天前
回复了 shaonian 创建的主题 分享创造 做了三个红包封面,分享给大家啦
新年快乐,感觉
333 天前
回复了 jaaaaaa 创建的主题 职场话题 2024 年放假通知,想看看大家的,看谁除夕还在公司包饺子
日历怎么说,公司怎么做
343 天前
回复了 leeolsen 创建的主题 旅行 🏴󠁧󠁢󠁳󠁣󠁴󠁿英国苏格兰高地自驾旅行记录
感觉 op 的文笔很不错,感谢分享
357 天前
回复了 YGBlvcAK 创建的主题 健康 强烈安利一款口腔溃疡凝胶, 10 年+经验
投一点灵一票,瞬间见效(除了点的时候有点难顶,麻了就结束了)
2023-12-08 16:44:05 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@onice #37 听起来好像是实体编码是确保用户输入的不会被当作代码来进行解析 这个意思;

那么我使用富文本的时候是必须要将数据当作代码来进行解析的,所以是不能进行实体编码的操作的么,因为浏览器会把它当作文本来显示
2023-12-08 11:12:59 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@onice 没看明白,转为实体编码 我只知道一些 < 转为 &lt; 之类的 不知道如何实现预防的,英文的翻过来没看太懂,

发现了新的问题

document.getElementById('rf').innerHTML= `&lt;img/src=1 &gt;` ; edge 下会显示为文本
document.getElementById('rd').innerHTML = `<img/src=1 >`; edge 下显示为 标签

不过 v-html 都会显示为标签

我再研究研究实体编码
2023-12-08 10:35:33 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@a632079 #31 你是用我那段代码测的么, 我那段尖括号是中文的,换成英文我测是可以过滤掉我说的这种情况的
2023-12-07 17:30:23 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@Granado 前端网关处理是指什么,ajax 请求拦截器里 做参数处理? 没想过这样做,感觉不如在 使用 innerHTML 的时候做处理要简单
2023-12-07 09:21:07 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@lneoi 全是英文,我英文太差,回头翻译一下研究研究
2023-12-07 09:17:53 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@LeeReamond 加了 / 的话 js-xss 不会把这个 tag 识别为 img 识别出来的 tag 名是 img/src , 但是浏览器会自动把 / 替换成空格,从而被当作 img 执行
2023-12-07 09:15:18 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@dawn009 还有点过于信任库了
2023-12-07 09:13:56 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@a632079 如果不是测试,这东西我是发现不了
2023-12-06 17:36:34 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@yumusb 你这有点过分,过滤完只剩标签了
2023-12-06 16:55:59 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@jowan ....好奇心害死猫,还好我手快,随便拼个网址竟然是这。。。。
2023-12-06 16:54:13 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@tabris17 后端大佬使唤不动
2023-12-06 16:52:44 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@InDom 确实是需要富文本,不然 innerText 完全不会有这种问题; 干掉 on[a-zA-Z] 和 script 确实一劳永逸;这项目是个老项目了,不想动太多; 下个项目要这样搞一下
2023-12-06 16:48:50 +08:00
回复了 Forviler 创建的主题 JavaScript 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下
@jowan 所以 ‘/’ 是在修复之列的, 我试了几个别的都不行,这种不同浏览器还有不同的修复方案了,希望没有别的了
2023-11-30 10:15:38 +08:00
回复了 fields 创建的主题 深圳 去年报的驾校,今年快过完了,这个月开始练车了
@anything66 不是
2023-11-27 14:21:32 +08:00
回复了 maymay5 创建的主题 分享创造 [第一次送码] 从未设想过 AI Bot 能活到今天,甚至有了收益,感谢 V 站许多人的支持
求试用,谢谢楼主,MjA2NzgzODk0N0BxcS5jb20=
2023-11-27 14:09:18 +08:00
回复了 fields 创建的主题 深圳 去年报的驾校,今年快过完了,这个月开始练车了
今年五月刚拿的证,大概一个半月吧,学着玩着,都是一把过的,科一的模拟真的比考试难很多,科二用时最长,两三周(每天去练 40 分钟),然后科三好像就练过三次车,科四是科三考完的晚上才开始刷的题,第二天考试直接过了
1  2  3  4  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5477 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 22ms · UTC 02:43 · PVG 10:43 · LAX 18:43 · JFK 21:43
Developed with CodeLauncher
♥ Do have faith in what you're doing.