<漏洞存在的产品对象>百度知道<危害>百度知道存在反射型XSS,可以做诱惑点击导致蠕虫。<重现方法>http://zhidao.baidu.com/utask/qb/info?callback=<script>alert(/xss by cc/)</script>
<修复建议>1.加强过滤。2.JSON接口存在风险:JSON接口需要设置Content-Type 添加:header(\’Content-type: application/json\’);这样即使JSON接口存在跨站漏洞,攻击者也难以利用。
