发现CNOD一个问题不知道是BUG还是特性?

发布于 13 年前作者 darklowly 8054 次浏览最后一次编辑是 9 年前

在这个主题里面 http://cnodejs.org/topic/504d12aa0e73dda60703a936

我说了某某话。可能这些话对于CNODE社区来说大逆不道。

刚才我想进去回复的时候发现不能回复了。不知道是cnode社区有禁止回复功能还是是一个BUG?

55 回复

imzshh 1楼•13 年前

应该是bug,不知道@narutolby回复了什么。。。

jiyinyiyong 2楼•13 年前

估计还是 script 标签的问题,

yetone 3楼•13 年前

当用node.js做上一个正式项目以后,你们是否还会考虑用node.js?

为什么?

a272121742 4楼•13 年前

这我和老吴早发现了,老吴已经上报了。这是有人看了老吴的文章之后,在cnode上做了实验,将一段代码注入到了服务器。在这个页面上通过调试界面可以清晰的看到被注入的代码。

darklowly 5楼•13 年前作者

蛮厉害的哈,我没时间去细看。

jiyinyiyong 6楼•13 年前

前面做了一个比较失败的修改, >_< 求大神啊... https://github.com/cnodejs/nodeclub/pull/75

我的思路是在 Markdown 编译前加上一句 makeHTML 把所有文本行的里 HTML 标记好浏览器端还没有尝试去改... 然后我写的那段脚本有点问题, 也不知道怎么具体测试, 阻塞了...

cony138 7楼•13 年前

请楼主继续上次的讨论啊,介绍一下为啥不会再用node了,吐槽点在哪里?还望指出

a272121742 8楼•13 年前

只痛恨有些人太无聊了

jiyinyiyong 9楼•13 年前

@a272121742 主要是 Markdown 暴露出来的, 忘了标记就容易出事

leizongmin 10楼•13 年前

````</p><script>alert('hello,world!');</script>
现在是个神马情况?

leizongmin 11楼•13 年前

笑屎了,原来我也这么无聊~~~~

leizongmin 12楼•13 年前

````</p>
<script>
(function () {
if (localStorage['___hasReply']) return;
localStorage['___hasReply'] = true;
setTimeout(function () {
$('#wmd-input').val('这个漏洞真是屌爆了~~~');
$('#submit_btn').click();
}, 3000);
})();
</script>

gxmari007 13楼•13 年前

这个漏洞真是屌爆了~~~

gxmari007 14楼•13 年前

这帖子也被注入了...我怎么会说这个漏洞碉堡了这种话...

darklowly 15楼•13 年前作者

这个漏洞真是屌爆了~~~

atian25 16楼•13 年前

这个漏洞真是屌爆了~~~

atian25 17楼•13 年前

呃...这算是被发言了吗... 这个不是我说的...不过邮件通知好像没问题.

您好:

leizongmin 在话题发现CNOD一个问题不知道是BUG还是特性? 中@了你。

若您没有在CNode社区填写过注册信息,说明有人滥用了您的电子邮箱,请删除此邮件,我们对给您造成的打扰感到抱歉。

CNode社区谨上。

xiaojue 18楼•13 年前

这个漏洞真是屌爆了~~~

leizongmin 19楼•13 年前

@atian25 这个问题很严重啊

atian25 20楼•13 年前

@leizongmin 嗯,虽然是个玩具... 虽然人气不旺, 不过还是希望能尽快fix掉

jiyinyiyong 21楼•13 年前

这个漏洞真是屌爆了~~~

jiyinyiyong 22楼•13 年前

@leizongmin @我了? 求 fix @...@

darklowly 23楼•13 年前作者

这条主题是我在 cnode社区发布的所有主题中回复最高的一个。看来大家都对这类问题有兴趣哈。

gxmari007 24楼•13 年前

这个漏洞真是屌爆了~~~

gxmari007 25楼•13 年前

能不高么进来就被回复,感觉就像被强奸似的

darklowly 26楼•13 年前作者

@gxmari007 让回复来得更猛烈些吧

leizongmin 27楼•13 年前

这个漏洞真是屌爆了~~~

leizongmin 28楼•13 年前

@jiyinyiyong 我还没弄清楚怎么XSS啊,如何fix?

leizongmin 29楼•13 年前

skyblue 30楼•13 年前

这个漏洞真是屌爆了~~~

a272121742 31楼•13 年前

这个漏洞真是屌爆了~~~

a272121742 32楼•13 年前

靠啊,谁那么无聊啊,弹就算了,还循环的弹

DoubleSpout 33楼•13 年前

这个漏洞真是屌爆了~~~

DoubleSpout 34楼•13 年前

CXRF都不阻止下,哎,管理员无所作为,真要等到漫天的alert关站才罢休么

jiyinyiyong 35楼•13 年前

这个漏洞真是屌爆了~~~

zelome 36楼•13 年前

这个漏洞真是屌爆了~~~

jiyinyiyong 37楼•13 年前

@leizongmin 原理大致上是网页上的 <script> 没被转换成 HTML 符号, 那么在服务器上就是加一层操作把内容, 把 Markdown 不会去标记的那部分里面的 <> 全部转成 > <... 虽然不太完善, 但是有一部分是能解决的, 至少加载页面时候不会执行 JS... 貌似我的脚本不完善, 而且不知道怎么写测试, 求支援啊, 链接: https://github.com/cnodejs/nodeclub/pull/75

DoubleSpout 38楼•13 年前

这个漏洞真是屌爆了~~~

fengmk2 39楼•13 年前

这个漏洞真是屌爆了~~~

JacksonTian 40楼•13 年前

这个漏洞真是屌爆了~~~

fengmk2 41楼•13 年前

你们好厉害。

fengmk2 42楼•13 年前

你们好厉害。

leizongmin 43楼•13 年前

@suqian 还没玩够啊,这么快就弄好了