关键漏洞信息 漏洞类型: - XSS (跨站脚本) 受影响版本: - >= 3.0.0 未受影响版本: - < 3.0.0 修复版本: - 5.0.0.1, 4.2.7.1, 3.2.22.3 漏洞描述: - 当将被声明为 "HTML safe" 的文本作为属性值传递给标签助手时,将不会转义引号,从而导致XSS攻击。 影响代码示例: - 一些助手如 可能会将字符串标记为 "HTML safe",因此受到影响的代码可能如下所示: 修复措施: - 升级到修复版本。 - 使用提供的补丁。 - 手动转义引号,示例如下: CVE编号: - CVE-2016-6316 报告者: - Andrew Carpenter 附带文件: - 3-2-attribute-xss.patch (3218 bytes) - 4-2-attribute-xss.patch (2244 bytes) - 5-0-attribute-xss.patch (2591 bytes)