用户资料中的精选主题标题未正确解析 HTML 实体,例如:
How to start building stuff for Discourse if you’re newbie (like myself)
6 个赞
也许可以@markvanlan 试试?
7 个赞
我刚刚合并了 一个提交 来修复这个问题。只是一对额外的 {}!
7 个赞
如果主题标题中包含 HTML 代码,我们是否确定这不会让我们面临 XSS 漏洞的风险?
6 个赞
我确认 fancy_title 已进行转义,不会导致 XSS 漏洞。我之前只是假设如此,因此感谢您的提问。
9 个赞