XSS 漏洞 第二波

[MHuiG]

If you want to report a bug, please provide the following information:

• The steps to reproduce.

1. 转到 https://valine.js.org/
2. 输入以下内容

<a href="http://example.com/attack.html" style="display: block; z-index: 100000; opacity: 0.5; position: fixed; top: 0px; left: 0; width: 1000000px; height: 100000px; background-color: red;"> </a> 

3. 点击发送

• A minimal demo of the problem via https://jsfiddle.net or http://codepen.io/pen if possible.
  https://valine.js.org/
• Which versions of Valine, and which browser / OS are affected by this issue?
  当前版本
  all/all

[MHuiG]

@xCss

https://valine.js.org/contact.html

记得删评论~~

[Reqwey]

@MHuiG 作为一名熊孩子不小心又试了一下, 然后...

[MHuiG]

@MHuiG 作为一名熊孩子不小心又试了一下, 然后...

[xaoxuu]

说实话，我感觉评论框只负责解析简单的md和上传图片就足够了，公式用截图就行了……

[so1ve]

说实话，公式可以转换成知乎api的

[so1ve]

https://www.zhihu.com/equation?tex=
URLencode一下就行了

[xaoxuu]

其实大部分评论用户连md都不会用（或者是会用但懒得用，贴代码都不用codeblock直接贴）更别提公式了，安全和稳定比其它一切都重要。

[xaoxuu]

我的博客也算是技术型博客吧，主题官网也是必须会用md为前提的，就我对这两个网站的评论区观察，对于大部分评论，发表情和直接贴图的功能是使用率最高的，md语法的使用率都非常低，其中最常出现的md语法是代码框和链接。

[MHuiG]

其实大部分评论用户连md都不会用（或者是会用但懒得用，贴代码都不用codeblock直接贴）更别提公式了，安全和稳定比其它一切都重要。

之前我尝试推广MiniValine时有主题作者向我提出建议:

目前MiniValine包体积已经远小于Valine

因为我使用了webpack@3 的按需加载的新特性(Valine 还在用webpack@2)

MiniValine已经实现模块化

只有用户用到Markedown，代码高亮，公式的时候才会请求相应的源码并加载，而不是请求加载全部代码

MiniValine代码已经开源，另外我不想继续维护了（因为我用Gitalk,除非有重大BUG还会继续更新），剩下的所有问题就交给 @xCss 大佬解决了

PS：之前邀请过xCss大佬一起开发MiniValine，大佬不理我，不开森

[xCss]

v1.4.10 已修复，感谢反馈

[MHuiG]

@xCss ReOpen 回来重改！！！！

[Reqwey]

???

[MHuiG]

???

https://valine.js.org/

#298

[Reqwey]

???

https://valine.js.org/

#298

噗

[xaoxuu]