ZF 1.7.7 之前的版本在 Zend_Filter_StripTags 存在安全漏洞

edited 十一月 -1 in Zend Framework
根據通訊論壇上面的消息, Zend_Filter_StripTags 在比對 HTML 標籤屬性時指定的屬性前後包含空白字元,或是數值包含段落字元,輸出的資料就會包含這些屬性,即使並沒有設定為保留。

這個問題會造成 XSS 攻擊的疑慮,建議立即更新 ;)

原始討論: http://twpug.net/x/modules/newbb/viewtopic.php?topic_id=3989
Sign In or Register to comment.