简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
Maison > interface Web > js tutoriel > le corps du texte

不要小看注释掉的JS 引起的安全问题_javascript技巧

WBOY
Libérer: 2016-05-16 18:57:14
original
1097 Les gens l'ont consulté

一个是header插入问题。
另一个是\r\n问题。
我们来看这样一段代码:
1. test
2. <script> <BR>3. //alert('<%=request.getParameter("username")%>'); <BR>4. </script>
大家都能看到,这好像有个漏洞,但是已经被补上了,注释掉了。
那既然注释掉了,就不该有问题了么?
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧?
生成了如下代码:
test
<script> <BR>//alert('kxlzx <BR>alert('kxlzx '); <BR></script>
注释掉的JS,也执行了。
所以,不要把没用的代码,注释掉的JS等,扔到html里。
代码审核是个细活,任何疏漏之处都值得注意。

Étiquettes associées:
js 注释
source:php.cn
Article précédent:ASP SQL防注入的方法_jquery Article suivant:HTML与javascript常碰到的编码问题_javascript技巧
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros
Les points de nuage de points ne conservent pas leurs valeurs lors du zoom dans d3.js C'est la première fois que j'utilise d3.js, alors soyez indulgents avec moi. Je l'ai implé...
Depuis 2024-04-06 18:16:26
0
1
403
Pourquoi l'omission de 0 ms de veille interrompt-elle mes transitions CSS ? J'essaie d'implémenter une animation FLIP pour voir si je la comprends bien. Dans ce codep...
Depuis 2024-04-06 16:29:50
0
2
490
Créez des utilisateurs dans Vue à l'aide de Firebase sans vous connecter J'ai créé un formulaire pour créer des profils d'utilisateurs. Mais chaque fois que je cré...
Depuis 2024-04-06 14:20:12
0
1
514
La v-card Vuetify s'adapte à toutes les hauteurs possibles dans v-col Je construis une page de connexion/inscription en utilisant vue et vuetify. Je mets le cod...
Depuis 2024-04-06 10:29:26
0
1
406
PHPMailer utilisant Gmail et XOAUTH2 : Comment obtenir automatiquement un nouveau jeton d'actualisation lorsque le jeton d'actualisation actuel expire ? Je suis préoccupé par l'utilisation de Gmail avec XOAUTH2 (PHPMailerWiki) et par Comment e...
Depuis 2024-04-06 10:14:45
0
1
373
Rubriques connexes
Plus>
Recommandations populaires
Tutoriels populaires
Plus>
Tutoriels associés
Recommandations populaires
Derniers cours
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal
À propos de nous Clause de non-responsabilité Sitemap
Site Web PHP chinois:Formation PHP en ligne sur le bien-être public,Aidez les apprenants PHP à grandir rapidement!