ci3 xss没有过滤掉

梦想杀死 · 发表于 2017-4-7 14:00:17

goods/goods_list?country='"+onmouseover=alert(11)+d='"

梦想杀死 · 发表于 2017-4-7 14:00:46

直接崩了

Hex · 发表于 2017-4-7 14:25:46

你的 CI 版本是多少？贴代码看看，如果经过 XSS 过滤，不应该有这种情况。

梦想杀死 · 发表于 2017-4-7 14:41:55

Hex 发表于 2017-4-7 14:25
你的 CI 版本是多少？贴代码看看，如果经过 XSS 过滤，不应该有这种情况。

const CI_VERSION = '3.1.2';

接收：$data['where']['country'] = $this->input->get_post('country', TRUE);
页面：<input id="country_hidden" name="country_hidden" value="<?php if (isset($where['country'])){echo $where['country'];}?>" type="hidden"/>

Hex · 发表于 2017-4-7 17:34:32

测试了一下，确实有这个问题。。。。。

梦想杀死 · 发表于 2017-4-7 17:47:27

Hex 发表于 2017-4-7 17:34
测试了一下，确实有这个问题。。。。。

这能骗你么。。。能能修改。还存在一个问题，在上一个贴子，我在那个帖子回复你

Hex · 发表于 2017-4-7 17:56:20

梦想杀死发表于 2017-4-7 17:47
这能骗你么。。。能能修改。还存在一个问题，在上一个贴子，我在那个帖子回复你 ...

这个问题我感觉官方不可能不知道，不知道官方有什么特殊的意图。。。。

		自动登录	找回密码
密码			入住 CI 中国社区

[安全] ci3 xss没有过滤掉