Qexo icon indicating copy to clipboard operation
Qexo copied to clipboard
verified publisher icon Qexo

【安全性漏洞】消息功能XSS注入(HTML)

Open Fgaoxing opened this issue 2 years ago • 8 comments

Qexo 版本

3.1.0

平台

PG&vercel

问题描述

出现HTML渲染问题,存在潜在XSS注入风险(另:清除按钮颜色有问题,还有font的CDN似乎不好使了)

复现链接

No response

截图

image

Fgaoxing avatar Feb 20 '24 14:02 Fgaoxing

@am-abudu

Fgaoxing avatar Feb 20 '24 14:02 Fgaoxing

这跟xss有啥关系,只是css没调好吧

am-abudu avatar Feb 21 '24 00:02 am-abudu

@am-abudu 不是的,你这个明显是渲染了Markdown

Fgaoxing avatar Feb 22 '24 00:02 Fgaoxing

image

Fgaoxing avatar Feb 22 '24 00:02 Fgaoxing

我觉得是纯渲染问题,与xss无关

Jeamorg avatar Feb 23 '24 13:02 Jeamorg

是的,和xss没啥关系

momo54181 avatar Feb 24 '24 02:02 momo54181

Markdown渲染的问题,确实,但是我觉得需要修复一下

Fgaoxing avatar Feb 25 '24 11:02 Fgaoxing

换一个可靠的 CDN 应该就能解决了,或者使用稳定的网络

Jeamorg avatar Feb 25 '24 12:02 Jeamorg