发现一个【开发者论坛】的bug
该bug允许执行用户自定义html、js代码。
触发方式:点击“我的名字” 或头像进入个人中心 –> 点击回答
10 回复
我点击其他人没有这个问题啊
你是怎么做到的啊
有趣,谢谢分享
那我们岂不是很危险
如图
在回答中如果存在 html 代码,那么在 个人中心–>回答 中会直接被解析
收到 我们迅速处理下
谢谢。
先隐藏帖子。再次感谢
我之前还以为是能随便改代码呢
<script>
alert(“Hello,world!如果你看到了这个提示框,正面此bug是存在的…”);
</script>