漏洞概述 漏洞名称: XSS 漏洞在 GraphQL 函数中 描述: 函数仅转义了换行符和单引号,但未转义反斜杠。这允许攻击者通过在前添加反斜杠(例如 )来绕过转义,从而跳出 JavaScript 字符串上下文并执行任意代码。 修复: 修复首先转义反斜杠(在其他字符之前),并处理了回车符和 注入。 影响范围 受影响文件: 受影响函数: 修复方案 修复文件: 修复内容: - 在 函数中增加对反斜杠的转义处理。 - 修复后的代码如下: POC 代码 测试文件: 测试用例: - 测试查询参数是否正确转义以防止 XSS。 - 测试用例代码如下: