参考 https://github.com/bddjr/CCW-Code-Injection#svg 该脚本无法防御以下两种攻击方式 1. 基于编辑造型或背景的代码注入攻击: 影响范围有限,仅对查看源代码的人有效。 参考 https://muffin.ink/blog/scratch-vulnerability-disclosure/ 漏洞演示 https://www.ccw.site/detail/69f73e772a7d36316189ef73 2. 基于标签页打开 svg 的代码注入攻击: ⚡立即中招,几乎没有反应时间。 如果在浏览器里直接用一个标签页打开 svg ,浏览器会执行 svg 里的 JS 脚本。 漏洞演示:https://m.ccw.site/user_projects_assets/a8039314e7b97ea48e176b34090b680e.svg
参考 https://github.com/bddjr/CCW-Code-Injection#svg
该脚本无法防御以下两种攻击方式
基于编辑造型或背景的代码注入攻击:
影响范围有限,仅对查看源代码的人有效。
参考 https://muffin.ink/blog/scratch-vulnerability-disclosure/
漏洞演示 https://www.ccw.site/detail/69f73e772a7d36316189ef73
基于标签页打开 svg 的代码注入攻击:
⚡立即中招,几乎没有反应时间。
如果在浏览器里直接用一个标签页打开 svg ,浏览器会执行 svg 里的 JS 脚本。
漏洞演示:https://m.ccw.site/user_projects_assets/a8039314e7b97ea48e176b34090b680e.svg