发表新帖

发表新帖

图片上传xss,安防漏洞

Blade 未结

关注举报

 1  67

six_six_2005 剑圣 1天前

一、该问题的重现步骤是什么？

1. 我们在微服务版本放行了图片接口，现在显示图片上传xss

2.

3.

二、你期待的结果是什么？实际看到的又是什么？

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

4.4微服务版本，欧拉

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

1条回答

admin - BladeX作者

1天前

url接口肯定不能放行，放行了就得自己加逻辑，提交接口自己加校验，后端去校验用户提交的url地址的合法性。截图里的弹窗也没有bladex的服务url，仅仅只是一个固定的地址弹窗而已。
这其实是属于你们业务上写的漏洞了，跟框架本身没关系，你把接口都放行了，自己写的业务接口，还没加上校验，可不能归到框架本身的漏洞啊。

1 讨论(0)
评论:

提交评论
- 加载中...

官方产品

BladeX 企业级开发平台 BladeX 可视化数据大屏

官方新品

BladeX 物联网开发平台

热议问题: 支付插件配置好了后报错 2; 部署boot源码，新建租户，租户admin访问系统自带“流程管理”，提示认证异常 1; saber2如何引入阿里巴巴字体 1; 微服务各自有log日志 1; /ureport/preview方法渲染的样式和展示的数据内容不完整 2; 超管新增租户后，怎么在新增租户后，默认有些菜单不显示 1; 物联网平台之中，设备调试是不是没有联动协议转换 2; 这儿改成在哪儿配置了 2; Sharding表查询出现entity 1; Docker启动Bladex，所有服务均不报错，请求接口返回200，但返回结果是Redis连不上 2

扫一扫访问 Blade技术社区移动端


