Headline
CVE-2023-2220: xss · Issue #I6TGJD · 如梦技术/mica - Gitee.com
A vulnerability was found in Dream Technology mica up to 3.0.5. It has been classified as problematic. Affected is an unknown function of the component Form Object Handler. The manipulation leads to cross site scripting. It is possible to launch the attack remotely. VDB-226986 is the identifier assigned to this vulnerability.
xss
from表单,如果接口入参字段是Object类型,就无法进行Xss过滤,有解决方案吗?
评论 (3)
什么样的 Object?直接就是个 Object 还是 对象?另外可以注解注入 XssCleaner bean 自行处理
例如,我的接口get方式,定义了a字段入参类型是java.lang.Object,前端传参字符串也没有问题,不乏有这种业务场景。
另外注解注入 XssCleaner 只是清理器,用于清理html字符串,我说问题的是,这种 java.lang.Object类型的还没有处理到,问题在这里,有什么解决方案处理下入参类型是java.lang.Object的吗?
那就是已知是字符串类型的,建议直接 String,你这个需求 mica-xss 不支持,也不会去支持,可以试试其他工具。
1
误判申诉
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
如梦技术 将任务状态从 待办的 修改为已完成
登录 后才可以发表评论
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
未关联
2.7.x
master
2.6.x
mica-v2.5.x
mica-v2.4.x
mica-v2.0
mica-v1.x
3.0.5
2.7.10
3.0.4
3.0.3
2.7.9
3.0.1
2.7.6
2.7.5
2.7.4
2.7.3
2.7.2
2.6.7
2.6.6
2.5.7
2.5.6
2.5.5
2.5.4
2.4.10
2.5.2
2.4.8
2.5.1
2.5.0
2.4.6
2.4.5
2.4.4-GA
2.4.3-GA
2.1.1-GA
2.1.0-GA
2.0.9-GA
2.0.8-GA
v2.0.7-GA
2.0.6-GA
2.0.5-GA
2.0.3-GA
v2.0.2-GA
v2.0.0
v1.2.2
v1.2.0
v1.1.9
v1.1.8
v1.1.7
v1.1.6
v1.1.5
v1.1.3
v1.1.2
v1.1.1
v1.1.0
v1.0.1
v1.0.0
v0.0.1-RC3
0.0.1-RC3
v0.0.1-RC2
参与者(2)