关于类脑社区提到的关于插件安全漏洞的XSS注入问题及应对对策
2 Answers
首先呢,我们不否认该漏洞的存在,但基于管理组提供的验证方式,该问题来源于前端渲染时未对其中代码块进行详细校验的问题,我们承认该漏洞存在的问题,并提出以下解决方案:
- 关闭前端渲染:该漏洞主要由前端渲染触发,禁用前端渲染功能即可关闭漏洞触发来源。
- 确保卡的来源及相关渲染正则内容安全:目前会进行渲染且可能导致漏洞触发的方式仅有前端渲染功能。
- 卸载Amily插件(如果您不信任该插件,您可以直接选择卸载该插件,这是最安全的方案。)
其次,我们会尽可能快速的修复该漏洞以确保各位使用的安全性,应当在三天内即可完成修复,或临时移除该功能以确保各位调用时的安全性。
最后,我们就此问题向各位真诚的致歉,并在后续开发过程中会尽可能确保安全性方面的问题。
祝好。
我刚看到竟然也有这个问题,确实我们不否认这个漏洞,但是如果想要承认我们的前段渲染是个“漏洞”的话,请务必也去控告一下小白X、前端助手等所有可执行iframe的插件、正则、前端卡。因为都有这样的逻辑。
Related
