色尼玛亚洲综合影院,亚洲3atv精品一区二区三区,麻豆freexxxx性91精品,欧美在线91

不要小看注釋掉的JS 引起的安全問題

2014-10-21 22:46:55 分類:JavaScript技術 閱讀()
一個是header插入問題。
另一個是/r/n問題。
我們來看這樣一段代碼:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,這好像有個漏洞,但是已經被補上了,注釋掉了。
那既然注釋掉了,就不該有問題了么?
不是的。
再看這個URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無奈吧?
生成了如下代碼:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS,也執行了。
所以,不要把沒用的代碼,注釋掉的JS等,扔到html里。
代碼審核是個細活,任何疏漏之處都值得注意。

JavaScript技術不要小看注釋掉的JS 引起的安全問題,轉載需保留來源!

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

標簽:
主站蜘蛛池模板: 大渡口区| 招远市| 昌吉市| 临高县| 周口市| 永泰县| 乌海市| 安福县| 墨竹工卡县| 马尔康县| 庐江县| 长岛县| 永靖县| 丰城市| 陵川县| 五台县| 奉贤区| 平塘县| 巴彦淖尔市| 从化市| 五河县| 东乌| 怀远县| 井研县| 中超| 资源县| 镇远县| 彰化市| 商河县| 渑池县| 靖边县| 灵寿县| 苏尼特左旗| 略阳县| 甘南县| 游戏| 鲁山县| 滦平县| 广南县| 乐平市| 固阳县|