赵斌
Typecho安全小知识
08/12
本文最后更新于2021年08月12日,已超过322天没有更新。如果文章内容或图片资源失效,请留言反馈,我会及时处理,谢谢!
1、开启评论来源页检查,这样如果来源不是当前网站,则会无法评论,防止利用post请求去刷评论
2、评论设置里允许使用的HTML标签和属性选项里务必不能填写 a 标签和 script标签,经测试,填写这2项标签后,可以直接评论xss执行js脚本
例如 a 标签的:
<a href="javascript:void(function() {$('body').remove()})()">点击删除整个网页</a>例如 script 标签的
<script>
window.location.href = 'https://www.zbzmt.com'
</script>
版权申明:
《赵斌博客》部分文章资料为作者提供或网络收集整理,仅供学习和研究使用,版权归原作者所有。
本文链接:
https://www.zbzmt.com/jbbc/47.html(转载时请注明本文出处及文章链接)
重要说明:
如本站发布的文章资料有侵犯您的版权或利益,请联系本站删除! QQ/微信:80747084
