最近研究浙政钉接入,应用做好后一堆的自查,发现存在脚本攻击漏洞
表现为 https://blog.csdn.net/qq_35393693/article/details/86597707
一些提交数据的页面,嵌入“<img src=1 onerror=alert(document.cookie)>”这种代码
此主题相关图片如下:微信截图_20210725161759.png
此主题相关图片如下:微信截图_20210725161716.png
<div class="weui_cell">
<div class="weui_cell_bd weui_cell_primary">
<textarea id="remarks" name="remarks" class="weui_textarea" rows="3">砖混结构<img src=1 onerror=alert(document.cookie)></textarea>
</div>
</div>
脚本确定是执行了,目前要做的是提交数据时,要过滤掉这些敏感词,但是如果这些词进去了,不执行,该怎么做?
我测试的是加在了TextArea里面,怎么能让他不执行脚本,却能照样显示?
With wb.AddInputGroup("form1","ipg2","其他说明" )
With .AddTextArea("remarks")
.value=fdr("remarks")
End With
End With
[此贴子已经被作者于2021/7/25 16:30:16编辑过]
加好友 
发短信
Post By:2021/7/25 16:26:00 [显示全部帖子]
