amis
amis copied to clipboard
baidu
InputFile 文件上传组件展示文件名时存在反射型xss攻击
描述问题:
InputFile 文件名存在反射型xss攻击
截图或视频:
如何复现(请务必完整填写下面内容):
-
上传一个带有xss脚本名称的文件,如文件名为
<img src=1 onerror=alert(1)><script>alert(2)</script>sec.html -
上传完成后,鼠标hover到文件名上,会弹出xss攻击语句
-
原因是代码中使用了html组件,缺少xss过滤
