已隐藏

已隐藏

编辑器把http://恶意网站/xss.jpg当做正常图片解析为<img src="http://恶意网站/xss.jpg">，使页面引入站外图片，造成编辑者ip和request headers被恶意网站获取。如果你的浏览器没有bug是不会泄露cookie的。漏洞现已修复，编辑他人发布的内容将使用纯文本编辑器。

看上去厉害！可惜我没法编辑，不能一试真假。