bddjr/CCWData-Code-Injection-Fix

修复“Gandi云数据”扩展的代码注入(Code injection)漏洞。 使用 iframe 隔离，外部对象在传给 eval 之前会被复制，关键函数防劫持，让 eval 无法获取外部对象，无法发起网络请求。 安装TamperMonkey，然后访问这个链接安装脚本即可： https://bddjr.github.io/CCWData-Code-Injection-Fix/CCWData-Code-Injection-Fix.user.js 源代码在 `src` 文件夹。 比较文件，以学习怎么修复漏洞: https://github.com/bddjr/CCWData-Code-Injection-Fix/compare/compare^..compare 2025年12月，攻击者利用代码注入(Code injection)漏洞，篡改了访问者的账号昵称和头像，其中包括Gandi云数据扩展的代码注入漏洞。 幸运的是，2026年1月16日，共创世界修复了list_sessions获取用户token的漏洞，攻击者不能再借助该漏洞盗号。但这并不代表风险完全解除了，只要作品的代码注入漏洞仍然存在，用户就仍然面临账号被攻击者用来执行恶意操作的风险。

标签：2025攻击事件, CCWData, CMS安全, eval, Gandi云数据, iframe隔离, JavaScript, TamperMonkey, 共创世界, 前端安全, 安全, 开源, 数据可视化, 沙箱, 浏览器扩展, 漏洞修复, 漏洞修补, 用户脚本, 网络安全培训, 自定义脚本, 账户安全, 超时处理, 防劫持, 防篡改