漏洞总结:ECharts 传递原始 HTML 安全风险 漏洞概述 ECharts 文档指出,部分 API 允许直接传递原始 HTML。如果未对 HTML 进行转义处理,可能导致 XSS(跨站脚本攻击) 和相关攻击。 影响范围 所有接受原始 HTML 内容的 ECharts API。 当传入的内容来自不可信来源(Untrusted sources)时,风险最高。 修复方案 1. HTML 转义 (HTML Escaping): 在将数据组装成 HTML 字符串之前,必须对数据进行预处理。 核心逻辑是将特殊字符转换为对应的 HTML 实体: - -> - -> - -> - -> - -> 2. 代码实现示例: 文档提供了两种实现方式的代码对比: 不安全实现 (Incorrect and unsafe): 安全实现 (Correct and safe):