关键信息 漏洞类型: XSS (跨站脚本攻击) 修复内容: - 地址了三个存储型XSS漏洞。 - 在将消息插入HTML之前对其进行转义。 - 使用 在插入wikiLambda-users-help-link到href属性之前,以防止通过javascript: URL进行XSS攻击。 - 解析wikiLambda-functional-metadata-errors-debug-hint消息时将其视为HTML。 - 转义wikiLambda-editor-publish-dialog-keyboard-submit-warning消息,并用原始HTML替换参数,然后再将其作为HTML插入。 相关文件: - includes/ZObjectEditAction.php - jest.setup.js - resources/ext.wikilambda.app/components/widgets/function-evaluator/FunctionMetadataDialog.vue - resources/ext.wikilambda.app/components/widgets/publish/PublishDialog.vue - tests/jest/components/widgets/publish/PublishDialog.test.js 提交信息: - 提交者: Jdforrester - 审查者: SomeRandomDeveloper, jenkins-bot, SonarQube Bot, SBassett - 提交日期: 2023年7月29日 - 状态: 已合并 测试和验证: - 代码审查通过 - Jenkins-bot验证通过 - SonarQube Bot质量检查通过