四虎精品视频-四虎精品成人免费网站-四虎黄色网-四虎国产视频-国产免费91-国产蜜臀97一区二区三区

<ul id="s80sw"></ul>

不要小看注釋掉的JS 引起的安全問題

2014-10-21 22:46:55 分類：JavaScript技術閱讀()

一個是header插入問題。
另一個是/r/n問題。
我們來看這樣一段代碼：
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到，這好像有個漏洞，但是已經被補上了，注釋掉了。
那既然注釋掉了，就不該有問題了么？
不是的。
再看這個URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無奈吧？
生成了如下代碼：
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS，也執行了。
所以，不要把沒用的代碼，注釋掉的JS等，扔到html里。
代碼審核是個細活，任何疏漏之處都值得注意。

JavaScript技術：不要小看注釋掉的JS 引起的安全問題，轉載需保留來源！

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。

標簽：

相關文章閱讀

5款Javascript顏色選擇器
11款基于Javascript的文件管理器
JavaScript 對話框和狀態欄使用說明
禁止在圖片上使用右鍵

<ul id="8ogek"></ul>

<tfoot id="8ogek"><rt id="8ogek"></rt></tfoot><ul id="8ogek"></ul>