用户
 找回密码
 入住 CI 中国社区
搜索
查看: 2143|回复: 6
收起左侧

[安全] ci3 xss没有过滤掉

[复制链接]
发表于 2017-4-7 14:00:17 | 显示全部楼层 |阅读模式
goods/goods_list?country='"+onmouseover=alert(11)+d='"
发表于 2017-4-7 14:25:46 | 显示全部楼层
你的 CI 版本是多少?贴代码看看,如果经过 XSS 过滤,不应该有这种情况。
 楼主| 发表于 2017-4-7 14:41:55 | 显示全部楼层
Hex 发表于 2017-4-7 14:25
你的 CI 版本是多少?贴代码看看,如果经过 XSS 过滤,不应该有这种情况。

const CI_VERSION = '3.1.2';

接收:$data['where']['country'] = $this->input->get_post('country', TRUE);
页面:<input id="country_hidden" name="country_hidden" value="<?php if (isset($where['country'])){echo $where['country'];}?>" type="hidden"/>
发表于 2017-4-7 17:34:32 | 显示全部楼层
测试了一下,确实有这个问题。。。。。
 楼主| 发表于 2017-4-7 17:47:27 | 显示全部楼层
Hex 发表于 2017-4-7 17:34
测试了一下,确实有这个问题。。。。。

这能骗你么。。。能能修改。还存在一个问题,在上一个贴子,我在那个帖子回复你
发表于 2017-4-7 17:56:20 | 显示全部楼层
梦想杀死 发表于 2017-4-7 17:47
这能骗你么。。。能能修改。还存在一个问题,在上一个贴子,我在那个帖子回复你 ...

这个问题我感觉官方不可能不知道,不知道官方有什么特殊的意图。。。。

本版积分规则