Typecho安全小知识

1、开启评论来源页检查,这样如果来源不是当前网站,则会无法评论,防止利用post请求去刷评论。

具体设置:

设置——评论提交——检查评论来源页 URL 是否与文章链接一致
设置——评论提交——同一 IP 发布评论的时间间隔限制为 1 分钟

2、评论设置允许使用的HTML标签和属性选项里务必不能填写a标签和script标签,经测试,填写这2项标签后,可以直接评论xss执行js脚本。

例如a标签

<a href="javascript:void(function() {$('body').remove()})()">点击删除整个网页</a>

例如script标签

<script>
    window.location.href = 'https://as.js.cn'
</script>

例如img标签

<img src='w.123' onerror='alert("hey!")'>
© 版权声明
THE END
如果喜欢,可以【点赞】【分享】【收藏】
点赞8赞赏 分享
评论 抢沙发
头像
非注册用户需审核通过后才能查看。友好交流,勿发纯表情,勿恶意灌水!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容