不要小看注释掉的JS 引起的安全问题
2008-12-27 16:46
741 查看
一个是header插入问题。
另一个是\r\n问题。
我们来看这样一段代码:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,这好像有个漏洞,但是已经被补上了,注释掉了。
那既然注释掉了,就不该有问题了么?
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧?
生成了如下代码:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉的JS,也执行了。
所以,不要把没用的代码,注释掉的JS等,扔到html里。
代码审核是个细活,任何疏漏之处都值得注意。
另一个是\r\n问题。
我们来看这样一段代码:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,这好像有个漏洞,但是已经被补上了,注释掉了。
那既然注释掉了,就不该有问题了么?
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧?
生成了如下代码:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉的JS,也执行了。
所以,不要把没用的代码,注释掉的JS等,扔到html里。
代码审核是个细活,任何疏漏之处都值得注意。
您可能感兴趣的文章:
相关文章推荐
- 不要小看注释掉的JS 引起的安全问题
- js注释引起的问题
- 在SQL脚本中的注释引起的奇怪问题
- 补充 ActiveX打包后在JS中调用时不提示安全问题
- JS中toFixed()方法引起的问题如何解决
- CSS中文注释引起IE样式失效问题的解决方案
- amCharts图表中的JavaScript中文注释引起的浏览器兼容性问题
- 一个坑爹的问题,js注释掉夹杂的el表达式页面不显示(代码颜色坑了我)
- 在SQL脚本中的注释引起的奇怪问题
- 在SQL脚本中的注释引起的奇怪问题
- 小心注释掉的js代码也会引起错误
- DELPHI 调用webservice一个安全问题引起的内存地址错误
- 使用js解决由border属性引起的div宽度问题
- JS中toFixed()方法引起的问题如何解决
- JS 分号引起的一段调试问题
- Effective前端1:能使用html/css解决的问题就不要使用JS
- 使用@jsonField失效?springBoot@jsonformat引起的时区问题,但是,这个要写死了!我就是不要这个时区。
- 不要轻信 PHP_SELF的安全问题
- js 的数值限制可能引起的问题
- 能用HTML/CSS解决的问题就不要使用JS