关键信息 漏洞概述 漏洞性质: 跨站脚本(反射型XSS)漏洞 文件: Ruoyi-admin/src/main/java/com/ruoyi/web/controller/common/CommonController.java 漏洞细节 文件上传方法检测到漏洞: - 反射型XSS漏洞。 - 在上传文件时,如果用户输入的文件名包含恶意脚本,可能被浏览器解析并执行。 漏洞代码片段 解决方案 对用户输入的内容进行严格的验证和过滤。 对上传的文件名进行安全编码,避免包含恶意脚本。 修复建议 1. 对用户输入进行合理验证,过滤特殊字符和恶意代码。 2. 对数据输出进行适当的编码处理,防止XSS攻击。 3. 设置HttpOnly属性,避免Cookie被JavaScript读取。