应该是bug，不知道@narutolby回复了什么。。。

估计还是 script 标签的问题,

当用node.js做上一个正式项目以后，你们是否还会考虑用node.js?

为什么？

这我和老吴早发现了，老吴已经上报了。这是有人看了老吴的文章之后，在cnode上做了实验，将一段代码注入到了服务器。在这个页面上通过调试界面可以清晰的看到被注入的代码。

蛮厉害的哈，我没时间去细看。

前面做了一个比较失败的修改, >_< 求大神啊… https://github.com/cnodejs/nodeclub/pull/75

我的思路是在 Markdown 编译前加上一句 makeHTML 把所有文本行的里 HTML 标记好 浏览器端还没有尝试去改… 然后我写的那段脚本有点问题, 也不知道怎么具体测试, 阻塞了…

请楼主继续上次的讨论啊，介绍一下为啥不会再用node了，吐槽点在哪里？还望指出

只痛恨有些人太无聊了

@a272121742 主要是 Markdown 暴露出来的, 忘了标记就容易出事

````</p><script>alert('hello,world!');</script>
现在是个神马情况？

笑屎了，原来我也这么无聊~~~~

````</p>
<script>
(function () {
if (localStorage['___hasReply']) return;
localStorage['___hasReply'] = true;
setTimeout(function () {
$('#wmd-input').val('这个漏洞真是屌爆了~~~');
$('#submit_btn').click();
}, 3000);
})();
</script>

这个漏洞真是屌爆了~~~

这帖子也被注入了…我怎么会说这个漏洞碉堡了这种话…

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

呃…这算是被发言了吗… 这个不是我说的…不过邮件通知好像没问题.

您好：

leizongmin 在话题 发现CNOD一个问题 不知道是BUG还是特性？ 中@了你。

若您没有在CNode社区填写过注册信息，说明有人滥用了您的电子邮箱，请删除此邮件，我们对给您造成的打扰感到抱歉。

CNode社区 谨上。

这个漏洞真是屌爆了~~~

@atian25 这个问题很严重啊

@leizongmin 嗯,虽然是个玩具… 虽然人气不旺, 不过还是希望能尽快fix掉

这个漏洞真是屌爆了~~~

@leizongmin @我了? 求 fix @…@

这条主题是我在 cnode社区发布的所有主题中回复最高的一个。看来大家都对这类问题有兴趣哈。

这个漏洞真是屌爆了~~~

能不高么进来就被回复，感觉就像被强奸似的

@gxmari007 让回复来得更猛烈些吧

这个漏洞真是屌爆了~~~

@jiyinyiyong 我还没弄清楚怎么XSS啊，如何fix？

<script>console.log(‘屌爆了’)</script>

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

靠啊，谁那么无聊啊，弹就算了，还循环的弹

这个漏洞真是屌爆了~~~

CXRF都不阻止下，哎，管理员无所作为，真要等到漫天的alert关站才罢休么

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

@leizongmin 原理大致上是网页上的 <script> 没被转换成 HTML 符号, 那么在服务器上就是加一层操作把内容, 把 Markdown 不会去标记的那部分里面的 <> 全部转成 > <… 虽然不太完善, 但是有一部分是能解决的, 至少加载页面时候不会执行 JS… 貌似我的脚本不完善, 而且不知道怎么写测试, 求支援啊, 链接: https://github.com/cnodejs/nodeclub/pull/75

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

这个漏洞真是屌爆了~~~

你们好厉害。

你们好厉害。

@suqian 还没玩够啊，这么快就弄好了

T_T 我一天没休息了，正准备回家，你们就刷起漏洞来了。。。

好叼啊

你那篇文章再次变为神贴，要封神了，不然人人用神技术搞漫天的alert就完了…

能不能注入个代码让打开页面的人循环写消息注入代码…这样岂不是数据库都要蹦掉。。

@a272121742 可以的，直接把数据库插爆掉

又找到了一个XSS，娃哈哈

@suqian，人类已经无法阻止cnodejs被XSS了！

@suqian，人类已经无法阻止cnodejs被XSS了！

这个漏洞真是屌爆了~~~

难道漏洞还在么… 可惜没在漏洞的时候加载个聊天室进来, 现在没得玩了

这个想法很有创意