[原版本] 文件上传组件可用于XSS攻击
zrquan opened this issue · 4 comments
zrquan commented
问卷使用的文件上传组件只会在前端检测文件后缀,用户可以直接修改请求中的filename和mime type来上传html文件
管理员查看问卷的原始数据时如果打开了html文件就会遭到XSS攻击,虽然cookie设置了httponly不能直接窃取,还是可以利用同域发起CSRF攻击。比如创建用户:
easyandeasy commented
.....
wkeyuan commented
@zrquan 感谢你的反馈,收到反馈后我们已经第一时间作出响应并已经修昨,有空可以再次验证下。
这个问题应该早就被修复,在我们其它产品与项目里面都有处理,由于自己平时工作太多,就把这事给忘了,再次感谢你的反馈,欢迎继续指出问题。
zrquan commented
@wkeyuan 我在Q群提供的社区版(dwsurvey-oss-vue-v.5.3.0-Beta.jar)和“原版本”体验地址 (https://ent.surveyform.cn/) 上验证过是还可以利用的,所以应该还是有点风险,新版本确实没有这个问题