攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码,
有道工具箱存在XSS及修复
。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的测试poc
http://toolbox.youdao.com/searchcode/iframe?style=4&product=blogsite&defaultProduct=blogsite&borderColor=ffffff&bkColor=FFFFFF&formWidth
=232&domain="><"
解决方案:html escape转义变量输出