Typecho安全小知识

HaoOuBa
2021-03-06 / 25 评论 / 2,933 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2021年04月29日,已超过1183天没有更新,若内容或图片失效,请留言反馈。

1、开启评论来源页检查,这样如果来源不是当前网站,则会无法评论,防止利用post请求去刷评论

2、评论设置允许使用的HTML标签和属性 选项里务必不能填写 a 标签和 script标签,经测试,填写这2项标签后,可以直接评论xss执行js脚本

例如 a 标签的:

<a href="javascript:void(function() {$('body').remove()})()">点击删除整个网页</a>

例如 script 标签的

<script>
    window.location.href = 'https://78.al'
</script>
21

评论 (25)

取消
  1. 头像
    点击删除整个网页
    Linux · Google Chrome

    点击删除整个网页

    回复
  2. 头像
    DFFF
    Windows 10 · Google Chrome

    点击删除整个网页

    回复
  3. 头像
    ly
    Windows 10 · Google Chrome

    点击删除整个网页

    回复
    1. 头像
      点击删除整个网页
      Linux · Google Chrome
      @ ly

      点击删除整个网页

      回复
    2. 头像
      withero
      Windows 10 · FireFox
      @ ly

      点击删除整个网页

      回复
  4. 头像
    megeg
    Windows 10 · Google Chrome

    点击删除整个网页

    回复
  5. 头像
    a
    Windows 10 · Google Chrome

    点击删除整个网页

    回复
  6. 头像
    1
    Windows 10 · Google Chrome

    点击删除整个网页

    回复
  7. 头像
    评论666
    Windows 10 · Google Chrome

    点击删除整个网页

    回复
  8. 头像
    53245
    Windows 10 · Google Chrome

    点击删除整个网页

    回复
  9. 头像
    大大
    Windows 10 · Google Chrome

    213213

    回复
  10. 头像
    begem
    Windows 10 · Google Chrome

    点击删除整个网页

    回复