https://blog.sjfkai.com/2018/10/18/Highcharts-XSS%E6%BC%8F%E6%B4%9E%E7%AE%80%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/
最近工作上接手的一个项目使用到了Highcharts。
它是一个开源图标库。
XSS攻击简析该库允许使用者传入 HTML 来自定义图表的某些部分。
比如官方实例:An HTML table in the tooltip
恰好我司业务需求中,要把用户输入的内容展示在 tooltip 中。
这就很容易出
https://blog.sjfkai.com/2018/10/18/Highcharts-XSS%E6%BC%8F%E6%B4%9E%E7%AE%80%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/
最近工作上接手的一个项目使用到了Highcharts。
它是一个开源图标库。
XSS攻击简析该库允许使用者传入 HTML 来自定义图表的某些部分。
比如官方实例:An HTML table in the tooltip
恰好我司业务需求中,要把用户输入的内容展示在 tooltip 中。
这就很容易出