资料昵称 / 图标渲染 XSS
检查昵称、状态文本、图标 URL 等看似很小的资料字段,在属性或 HTML 上下文中是否会变成可执行代码。
HTML payload 测试
该场景测试用户输入在 HTML/DOM 中的渲染方式,而非 iframe sandbox 行为。
- 昵称仅以 textContent 渲染
- 放入属性前按 attribute context 编码
- 图标 URL 使用 URL 解析和 host/protocol allowlist 校验
Payload
要复制的 payload
检查昵称进入 title、aria-label、value 属性时是否能引号逃逸。
预览
此预览为了学习目的故意执行 unsafe rendering。真实服务中,该 payload 应被转义为文本或移除。
日志
// 无日志
说明
- 资料字段会在评论、通知、管理员列表、分享卡片等大量位置复用。任一路径遗漏都可能变成存储型 XSS。
- 昵称是文本,不是 HTML。保留 React/DOM 默认文本渲染,并检查 formatter 不要切换到
dangerouslySetInnerHTML。 - 图标字段主要是 URL 策略问题。不要把用户提供的图标 URL 直接传入
src、CSS URL 或 innerHTML,需验证 protocol、host、content-type。