罗毅豪

摘要： 需求：使用burp抓包，可以看到富文本编辑器中图片是以base64形式在img标签内的，那就可以添加onclick=alert(1)来注入xss代码。 这样用户在点击图片时就会触发xss代码，进行弹窗。若通报发布，那所有的用户都可以查看到通报内容，如果攻击者恶意伪造弹窗内容进行钓鱼，用户可能会当真， 阅读全文