|
|
另一個(gè)是/r/n問題。
我們來看這樣一段代碼:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,這好像有個(gè)漏洞,但是已經(jīng)被補(bǔ)上了,注釋掉了。
那既然注釋掉了,就不該有問題了么?
不是的。
再看這個(gè)URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無奈吧?
生成了如下代碼:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS,也執(zhí)行了。
所以,不要把沒用的代碼,注釋掉的JS等,扔到html里。
代碼審核是個(gè)細(xì)活,任何疏漏之處都值得注意。
JavaScript技術(shù):不要小看注釋掉的JS 引起的安全問題,轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
