webman/admin新增和修改存在跨站脚本攻击的风险

W

问题描述

本人安装了微问答系统在后台添加数据的时候发现跨站脚本攻击的风险,如下图所示:
截图

程序代码或配置

追到源代码,发现微问答系统使用的是webman/admin父类的增加修改方法,如下图所示:
截图
截图
截图
截图

问题

数据库插入如图显示:
截图

应该是admin的curd没有处理跨站脚本攻击导致,大佬看看是不是这样,希望能够完善一下curd的基类方法。

883 1 0
1个回答

walkor 打赏

webman手册有讲,入库时不建议xss过滤,建议输出时xss转义过滤。
webman-admin都是在输出时过滤的。

如果问答系统没做输出过滤,这个算是问答系统的bug,不是webman-admin的

  • W 2023-07-12

    好的,感谢您的解答

年代过于久远,无法发表回答
×
🔝