修复漏洞

34719ac6 · 赵灿灿 · fa1fa16c · 34719ac6 · 34719ac6 · 34719ac6
Commit 34719ac6 authored Feb 27, 2026 by 赵灿灿
6 changed files
--- a/pom.xml
+++ b/pom.xml
@@ -162,7 +162,7 @@
        <dependency>
            <groupId>com.infoepoch.pms</groupId>
            <artifactId>commons</artifactId>
-            <version>1.0.0</version>
+            <version>1.0.1</version>
        </dependency>
        <!--密码管理：配置文件中的明文密码-->
        <!--使用jasypt加密密钥-->

--- a/src/main/java/com/infoepoch/pms/dispatchassistant/common/component/Result.java
+++ b/src/main/java/com/infoepoch/pms/dispatchassistant/common/component/Result.java
@@ -170,6 +170,12 @@ public class Result {
                .replaceAll("\\)", "&#41;")
                .replaceAll("'", "&#39;")
                .replaceAll("eval\\((.*)\\)", "")
+                .replaceAll("alert\\((.*)\\)", "")      // 添加：alert
+                .replaceAll("confirm\\((.*)\\)", "")    // 添加：confirm
+                .replaceAll("prompt\\((.*)\\)", "")     // 添加：prompt
+                .replaceAll("open\\((.*)\\)", "")       // 添加：open
+                .replaceAll("write\\((.*)\\)", "")       // 添加：write
+                .replaceAll("writeln\\((.*)\\)", "")    // 添加：writeln

                .replaceAll("(?i)script", "")
                .replaceAll("(?i)onload", "")

--- a/src/main/resources/static/pages/fusion/fusion-experts-chat.html
+++ b/src/main/resources/static/pages/fusion/fusion-experts-chat.html
@@ -72,7 +72,7 @@
             :class="message.role + '-message'">
          <div class="avatar">{{ message.role === 'user' ? '我' : 'AI' }}</div>
          <div class="content">
-            <p v-html="message.content"></p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
+            <p>{{message.content}}</p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
            <div v-if="message.typing" class="typing-indicator"></div>
          </div>
        </div>

--- a/src/main/resources/static/pages/langchain/ai-chat.html
+++ b/src/main/resources/static/pages/langchain/ai-chat.html
@@ -72,7 +72,7 @@
                     :class="message.role + '-message'">
                    <div class="avatar">{{ message.role === 'user' ? '我' : 'AI' }}</div>
                    <div class="content">
-                        <p v-html="message.content"></p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
+                        <p>{{message.content}}</p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
                        <div v-if="message.typing" class="typing-indicator"></div>
                    </div>
                </div>

--- a/src/main/resources/static/pages/plugin/expert-chat.html
+++ b/src/main/resources/static/pages/plugin/expert-chat.html
@@ -72,7 +72,7 @@
                     :class="message.role + '-message'">
                    <div class="avatar">{{ message.role === 'user' ? '我' : 'AI' }}</div>
                    <div class="content">
-                        <p v-html="message.content"></p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
+                        <p>{{message.content}}</p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
                        <div v-if="message.typing" class="typing-indicator"></div>
                    </div>
                </div>

--- a/src/main/resources/static/pages/test/ai-chat.html
+++ b/src/main/resources/static/pages/test/ai-chat.html
@@ -72,7 +72,7 @@
                     :class="message.role + '-message'">
                    <div class="avatar">{{ message.role === 'user' ? '我' : 'AI' }}</div>
                    <div class="content">
-                        <p v-html="message.content"></p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
+                        <p>{{message.content}}</p><!--v-html可能会有xss攻击，但是数据来源于大模型，是否需要清洗数据然后再显示？-->
                        <div v-if="message.typing" class="typing-indicator"></div>
                    </div>
                </div>