1、开启评论来源页检查,这样如果来源不是当前网站,则会无法评论,防止利用post请求去刷评论
2、评论设置 里 允许使用的HTML标签和属性 选项里务必不能填写 a 标签和 script标签,经测试,填写这2项标签后,可以直接评论xss执行js脚本
例如 a 标签的:
<a href="javascript:void(function() {$('body').remove()})()">点击删除整个网页</a>例如 script 标签的
<script>
window.location.href = 'https://78.al'
</script>
window.location.href = 'https://78.al'
评论插入图片的img标签不通过怎么办
点击删除整个网页
第一条基本上没用,毕竟来源是可以伪造的。
看看咯嘿嘿
window.location.href = 'https://as.js.cn'
点击删除整个网页
window.location.href = 'https://as.js.cn'