84669 person learning
152542 person learning
20005 person learning
5487 person learning
7821 person learning
359900 person learning
3350 person learning
180660 person learning
48569 person learning
18603 person learning
40936 person learning
1549 person learning
1183 person learning
32909 person learning
微信编辑器好像可以使用代码耶,但是估计XXS是不可能的,我想知道微信是怎么过滤处理我们的编辑提交的数据的呢?
比如我写个 <img src="" onclick="alert(1)" />
<img src="" onclick="alert(1)" />
微信后台是怎么处理这样的情况的呢?
允许我们使用HTML代码是的图文内容形式丰富,但是却又要规避风险,我想知道类似的这种情况是如何处理的。
希望有经验的大神指点一下哈,谢谢了!
小伙看你根骨奇佳,潜力无限,来学PHP伐。
提交文章的时候看看提交的参数就知道了。简单来说就是转义:标签肯定会被转义,你说的这种情况也会被转义,另外没有超链接权限的公众号中的标签也会转义。而且参数会在浏览器中和提交到服务器上时过滤两遍,所以想通过自己构造请求来提交非法代码的愿望也是无法实现的。
提交文章的时候看看提交的参数就知道了。简单来说就是转义:
标签肯定会被转义,你说的这种情况也会被转义,另外没有超链接权限的公众号中的
标签也会转义。而且参数会在浏览器中和提交到服务器上时过滤两遍,所以想通过自己构造请求来提交非法代码的愿望也是无法实现的。