0000029: MantisBT的Captcha插件中使用了不推荐的HTTP内联JS代码，存在跨站脚本攻击风险，如何改进？另外，验证码更新逻辑也较混乱，如何优化？

关于mantisbt 的动态验证码插件(https://github.com/mantisbt-plugins/Captcha) 的一些问题报告： 1. 里面使用了http内敛js 的代码，这是不推荐的，因为会导致跨站脚本攻击，根据CSP的policy, 最好不要这样用，所谓内联代码：在html中直接插入了js代码而不是引用js文件， ``` Click Me ``` 或者通过script 标签插入js 代码(eg: ...动态验证码的更新逻辑有点乱；

Logon see more details...

ID	Project	Category	View Status	Date Submitted	Last Update

0000029	mantisbt 系统搭建	Development	public	2025-01-23 06:05	2025-01-24 14:34

Reporter	~~user5~~	Assigned To
Priority	low	Severity	minor	Reproducibility	have not tried
Status	resolved	Resolution	open

View Issue Details