国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 編程 > JavaScript > 正文

不要小看注釋掉的JS 引起的安全問題

2019-11-21 01:30:24
字體:
供稿:網(wǎng)友
一個(gè)是header插入問題。
另一個(gè)是/r/n問題。
我們來看這樣一段代碼:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,這好像有個(gè)漏洞,但是已經(jīng)被補(bǔ)上了,注釋掉了。
那既然注釋掉了,就不該有問題了么?
不是的。
再看這個(gè)URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無奈吧?
生成了如下代碼:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS,也執(zhí)行了。
所以,不要把沒用的代碼,注釋掉的JS等,扔到html里。
代碼審核是個(gè)細(xì)活,任何疏漏之處都值得注意。

發(fā)表評(píng)論 共有條評(píng)論
用戶名: 密碼:
驗(yàn)證碼: 匿名發(fā)表
主站蜘蛛池模板: 惠来县| 鱼台县| 白玉县| 西乡县| 江油市| 钟祥市| 晋宁县| 上犹县| 清徐县| 青河县| 宁乡县| 台东县| 西乌| 伊金霍洛旗| 景宁| 蒙城县| 泰州市| 鹿邑县| 浦东新区| 九龙坡区| 清涧县| 浑源县| 松江区| 揭东县| 颍上县| 开原市| 株洲市| 西宁市| 灵川县| 宣武区| 当阳市| 仪陇县| 柘荣县| 清流县| 盐边县| 临西县| 雅安市| 那曲县| 峡江县| 岱山县| 吴桥县|