问卷使用的文件上传组件只会在前端检测文件后缀，用户可以直接修改请求中的filename和mime type来上传html文件

管理员查看问卷的原始数据时如果打开了html文件就会遭到XSS攻击，虽然cookie设置了httponly不能直接窃取，还是可以利用同域发起CSRF攻击。比如创建用户：

@zrquan 感谢你的反馈，收到反馈后我们已经第一时间作出响应并已经修昨，有空可以再次验证下。
这个问题应该早就被修复，在我们其它产品与项目里面都有处理，由于自己平时工作太多，就把这事给忘了，再次感谢你的反馈，欢迎继续指出问题。

@wkeyuan 我在Q群提供的社区版（dwsurvey-oss-vue-v.5.3.0-Beta.jar）和“原版本”体验地址 (https://ent.surveyform.cn/) 上验证过是还可以利用的，所以应该还是有点风险，新版本确实没有这个问题

@zrquan 是的，Q群v.5.3.0是老版本，已经发布最新v.5.4.0到Q群。