Typecho安全小知识

ZJ
ZJ
2022-09-21 / 0 评论 / 26 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2022年09月21日,已超过555天没有更新,若内容或图片失效,请留言反馈。

1、开启评论来源页检查,这样如果来源不是当前网站,则会无法评论,防止利用post请求去刷评论
2、评论设置里允许使用的HTML标签和属性 选项里务必不能填写 a 标签和 script标签,经测试,填写这2项标签后,可以直接评论xss执行js脚本

例如 a 标签的:

<a href="javascript:void(function() {$('body').remove()})()">点击删除整个网页</a>

例如 script 标签的

<script>
    window.location.href = 'https://xxx.com'
</script>
本文共 104 个字数,平均阅读时长 ≈ 1分钟
0

评论 (0)

取消