V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
maemolee
V2EX  ›  分享发现

b 站评论区竟然可以输入 HTML 标签,并且显示出来?

  •  
  •   maemolee · 2020-08-15 07:14:16 +08:00 · 4274 次点击
    这是一个创建于 1565 天前的主题,其中的信息可能已经有所发展或是发生改变。

    图片里的方框,我是输入了一个<input>😂

    牛逼啊,b 站。

    17 条回复    2020-08-15 09:47:11 +08:00
    delectate
        1
    delectate  
       2020-08-15 07:41:37 +08:00
    小破站很久不去了,因为真的恶臭了……
    weixiangzhe
        2
    weixiangzhe  
       2020-08-15 07:45:55 +08:00 via Android
    xss 警告?
    maemolee
        3
    maemolee  
    OP
       2020-08-15 08:04:51 +08:00
    @weixiangzhe #1 胆子大的可以试试看
    darer
        4
    darer  
       2020-08-15 08:08:53 +08:00   ❤️ 6
    iframe 里加载个 AcFun ?
    a22271001
        5
    a22271001  
       2020-08-15 08:09:17 +08:00 via Android
    在评论区里面写一个 B 站首页(套娃
    lvming6816077
        6
    lvming6816077  
       2020-08-15 08:44:32 +08:00 via iPhone
    能执行 js 吗
    Tyaqing
        7
    Tyaqing  
       2020-08-15 08:52:53 +08:00 via iPhone
    做个跳转到首页
    Tyaqing
        8
    Tyaqing  
       2020-08-15 08:53:26 +08:00 via iPhone
    做个跳转到 p 站
    Shook
        9
    Shook  
       2020-08-15 09:21:06 +08:00
    写了 onclick 无法提交,提示网络不好
    hakono
        10
    hakono  
       2020-08-15 09:23:12 +08:00 via Android
    能插入图片的话,评论起来就太舒适了
    Shook
        11
    Shook  
       2020-08-15 09:23:45 +08:00
    提交了个 iframe 链接到了百度,居然成功了…
    hakono
        12
    hakono  
       2020-08-15 09:29:43 +08:00   ❤️ 7
    试了下,楼主误会了
    提交后虽然能显示出来,但是你刷新下再看看评论,就懂了
    估计前端为了提交评论不刷新页面,直接做了一个把输入内容插入 dom 树里的功能
    但是提交到后台的数据实际上是有好好做的 xss 防护的
    LittleControl
        13
    LittleControl  
       2020-08-15 09:30:10 +08:00
    刚发出去的时候是是可以显示的,然后刷新一下就没有了,可能是 B 站修复一些问题
    ![1.png]( https://i.loli.net/2020/08/15/rx6Q3F12Ip7wTe8.png)
    ![2.png]( https://i.loli.net/2020/08/15/koX1IdrYDa76G8U.png)
    LittleControl
        14
    LittleControl  
       2020-08-15 09:31:42 +08:00
    @hakono 对,感觉就是这样的,没有同步更新页面
    dasdcasd
        15
    dasdcasd  
       2020-08-15 09:44:08 +08:00
    SELF-XSS
    wszgrcy
        16
    wszgrcy  
       2020-08-15 09:46:56 +08:00 via Android
    乐观更新?
    leelrs
        17
    leelrs  
       2020-08-15 09:47:11 +08:00   ❤️ 3
    @delectate 不要强迫自己,不喜欢就不去不讨论。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3590 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:38 · PVG 12:38 · LAX 20:38 · JFK 23:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.