当前的编辑器可能存在被注入JS代码攻击的安全隐患。
可以将本Markdown内容完整的复制到MdEditorV3编辑器中测试。
- 测试版本:v1.7.3
- 测试时间:2021/12/05
SCRIPT👉Hello👈SCRIPT
这个代码已经被注入,不过没能被直接调用(个人不是干这块的,不是很懂)。
SCRIPT👉<script type='text/javascript'>alert('你好');</script>👈SCRIPT
<iframe src="https://next.vuex.vuejs.org/" width="500" height="300"></iframe>function StringToIntArray(str){
let arr = [];
for(let i=0;i<str.length;i++)
arr.push(str.charAt(i));
return str;
}
// IntArrayToString
var str = function (arr){
var zstr = String();
return arr.map(x=>String.fromCharCode(x)).join(zstr);
}