最近在利用 gitbucket 用作项目开发中的代码托管工具。简单介绍一下gitbucket：gitbucket是一个仿github界面的代码托管工具。使用 scala 语言开发，利用 jgit 开源工具管理和操作git命令，内置了一个轻量级的内存数据库 h2 数据库（轻量到就一个jar包）。这个项目更新的比较快，目前最近的版本已经到1.11。

       在使用1.8版本时，遇到一个XSS漏洞：创建一个项目（不需要太正式），创建README.md文件。README.md文件中添加xss攻击语句：" ><script>alert(1)</script>< "并上传项目。当用户访问上传的项目时，浏览器将会解析 javascript 命令：alert(1)。

       为了避免被XSS攻击，我们需要在gitbucket把README.md文件的内容传递给用户的浏览器前，将README.md的内容转成html的内容，比如将“"”转成“ " ”等。

       读取README.md的程序文件文件是app/RepositoryViewerController.fileList。fileList方法中有获取README.md文件内容的方法：

StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get)

 添加上转义方法：

 StringUtil.convertFromByteArray(JGitUtil.getContent(Git.open(getRepositoryDir(repository.owner, repository.name)), file.id, true).get)
              .replace(">", ">").replace("<", "<").replace("\"", """)
              .replace("/", "⁄").replace("'", "´")

 再次访问之前的项目，README.md显示 " ><script>alert(1)</script>< "， 而不会执行这段javascript。

珍爱安全，远离XSS

​