这是一个创建于 1896 天前的主题,其中的信息可能已经有所发展或是发生改变。
图片里的方框,我是输入了一个<input>
牛逼啊,b 站。
 | 1 delectate 2020-08-15 07:41:37 +08:00 小破站很久不去了,因为真的恶臭了…… |
 | 2 weixiangzhe 2020-08-15 07:45:55 +08:00 via Android xss 警告? |
 | 3 maemolee OP @weixiangzhe #1 胆子大的可以试试看 |
 | 4 darer 2020-08-15 08:08:53 +08:00  6 iframe 里加载个 AcFun ? |
 | 5 a22271001 2020-08-15 08:09:17 +08:00 via Android 在评论区里面写一个 B 站首页(套娃 |
 | 6 lvming6816077 2020-08-15 08:44:32 +08:00 via iPhone 能执行 js 吗 |
 | 7 Tyaqing 2020-08-15 08:52:53 +08:00 via iPhone 做个跳转到首页 |
| 8 Tyaqing 2020-08-15 08:53:26 +08:00 via iPhone 做个跳转到 p 站 |
 | 9 Shook 2020-08-15 09:21:06 +08:00 写了 onclick 无法提交,提示网络不好 |
 | 10 hakono 2020-08-15 09:23:12 +08:00 via Android 能插入图片的话,评论起来就太舒适了 |
| 11 Shook 2020-08-15 09:23:45 +08:00 提交了个 iframe 链接到了百度,居然成功了… |
| 12 hakono 2020-08-15 09:29:43 +08:00 7 试了下,楼主误会了 提交后虽然能显示出来,但是你刷新下再看看评论,就懂了 估计前端为了提交评论不刷新页面,直接做了一个把输入内容插入 dom 树里的功能 但是提交到后台的数据实际上是有好好做的 xss 防护的 |
 | 13 LittleControl 2020-08-15 09:30:10 +08:00 刚发出去的时候是是可以显示的,然后刷新一下就没有了,可能是 B 站修复一些问题   |
| 14 LittleControl 2020-08-15 09:31:42 +08:00 @hakono 对,感觉就是这样的,没有同步更新页面 |
 | 15 dasdcasd 2020-08-15 09:44:08 +08:00 SELF-XSS |
 | 16 wszgrcy 2020-08-15 09:46:56 +08:00 via Android 乐观更新? |
Select Language