ThinkYoung
2024-11-11 10:22 deepin
也不是没过滤 之前大家做的一些引用B站视频啊,还有一些星火安装启动标签 包括玲珑启动标签都可以实现,其实都是iframe实现的
毕竟自从swf退役以后,在线视频流引用 都得iframe 有几个是直接提供视频源文件地址的呢?
没了iframe 少了很多功能 论坛就少了很多乐趣啊
开源意味着 大家共同监督嘛 如果为了安全 不能发图片 发附件 发iframe 就只能光看看文字了
Reply Like 0 View the author
很早很早,在我刚刚踏入深度论坛的时候就发现论坛对于标签的过滤并不严格例如这样:
最早稍微研究了下发现多数危险语句都被过滤了但近期在写文章的时候发现 **** 没过滤,且内容可控,便有了如下的
便可构造出一个xss
ps:我给[email protected]发过邮件,但一直没有回复 确认都没有。。。或者。。有微信吗