漏洞概述 该网页截图显示了一个GitHub仓库的提交记录,涉及对Markdown渲染功能的修复。具体问题是:在渲染Markdown内容时,未对HTML标签进行适当的过滤和转义,导致潜在的跨站脚本攻击(XSS)风险。 影响范围 受影响文件: - - 影响场景: - 在聊天历史表格中渲染Markdown内容时,如果用户输入包含恶意HTML标签,可能导致XSS攻击。 修复方案 1. 引入DOMPurify库: - 在 中引入 库,用于清理和转义HTML内容。 - 使用 方法对Markdown渲染后的HTML内容进行清理。 2. 修改代码: - 在 中,将 替换为使用 处理后的HTML内容。 - 在 中,对生成的HTML标签进行转义处理,确保特殊字符被正确编码。 POC代码 以下是修复前后的关键代码对比: 修复前 修复后 总结 通过引入 库并对HTML内容进行清理和转义,有效防止了潜在的XSS攻击,提升了应用的安全性。