| 主题: html过滤还不严格,无法过滤掉href里的js代码 |
| 作者: mestime, 发布日期: 2013-06-05 10:29:14, 浏览数: 2202 |
|
操作系统:
浏览器版本: KindEditor版本: v4.1.7 BUG再现步骤: 1.编写源码:<a href="javascript:alert('hello, this is not safe.');void(0)">aaa</a> 2.获取html代码 3.
问题描述:html过滤还不严格,无法过滤掉href里的js代码 期望结果: 过滤掉所有js代码 |
| 作者: Roddy, 发布日期: 2013-06-05 19:28:39 |
|
建议在后端做过滤,前端过滤再好也可以绕过去的。
|
| 回复 |
