以文本方式查看主题

-  Foxtable(狐表)  (http://foxtable.com/bbs/index.asp)
--  专家坐堂  (http://foxtable.com/bbs/list.asp?boardid=2)
----  [求助]WeUI脚本攻击漏洞怎么处理?  (http://foxtable.com/bbs/dispbbs.asp?boardid=2&id=170409)
--  作者:浙江仔
--  发布时间:2021/7/25 16:26:00
--  [求助]WeUI脚本攻击漏洞怎么处理?

最近研究浙政钉接入,应用做好后一堆的自查,发现存在脚本攻击漏洞
表现为 https://blog.csdn.net/qq_35393693/article/details/86597707
 
一些提交数据的页面,嵌入“<img src=1 onerror=alert(document.cookie)>”这种代码
  

图片点击可在新窗口打开查看此主题相关图片如下:微信截图_20210725161759.png
图片点击可在新窗口打开查看
 
 
图片点击可在新窗口打开查看此主题相关图片如下:微信截图_20210725161716.png
图片点击可在新窗口打开查看

 

<div class="weui_cell">
<div class="weui_cell_bd weui_cell_primary">
<textarea id="remarks" name="remarks" class="weui_textarea" rows="3">砖混结构&lt;img  src=1  onerror=alert(document.cookie)&gt;</textarea>
</div>
</div>


 
脚本确定是执行了,目前要做的是提交数据时,要过滤掉这些敏感词,但是如果这些词进去了,不执行,该怎么做?


我测试的是加在了TextArea里面,怎么能让他不执行脚本,却能照样显示
        With wb.AddInputGroup("form1","ipg2","其他说明" )
            With .AddTextArea("remarks")
                .value=fdr("remarks")
            End With
        End With

[此贴子已经被作者于2021/7/25 16:30:16编辑过]
--  作者:有点蓝
--  发布时间:2021/7/25 21:12:00
--  
在服务端接收提交的TextArea文本框数据后,判断数据的内容,是否包含一些网页标签、js关键字(alert、console....)等内容,如果有就不保存,并且提示