快捷導(dǎo)航

不要小看注釋掉的JS 引起的安全問(wèn)題

更新時(shí)間：2008年12月27日 16:46:16 作者：

HTTP Response Splitting 攻擊主要說(shuō)明的是兩個(gè)問(wèn)題

一個(gè)是header插入問(wèn)題。
另一個(gè)是\r\n問(wèn)題。
我們來(lái)看這樣一段代碼：
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到，這好像有個(gè)漏洞，但是已經(jīng)被補(bǔ)上了，注釋掉了。
那既然注釋掉了，就不該有問(wèn)題了么？
不是的。
再看這個(gè)URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無(wú)奈吧？
生成了如下代碼：
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS，也執(zhí)行了。
所以，不要把沒(méi)用的代碼，注釋掉的JS等，扔到html里。
代碼審核是個(gè)細(xì)活，任何疏漏之處都值得注意。

您可能感興趣的文章:

注釋
JS

相關(guān)文章

淺談JavaScript異常處理語(yǔ)句
考慮到 JS 中的錯(cuò)誤可比服務(wù)器端的代碼產(chǎn)生的錯(cuò)誤要多得多，并且還難以發(fā)現(xiàn)及修正，所以 JS 代碼必須有異常處理以及全局一場(chǎng)處理。
2015-06-06
JS 在指定數(shù)組中隨機(jī)取出N個(gè)不重復(fù)的數(shù)據(jù)
這篇文章主要介紹了JS 在指定數(shù)組中隨機(jī)取出N個(gè)不重復(fù)數(shù)據(jù)的方法,需要的朋友可以參考下
2014-06-06
js中try?catch使用遇到的問(wèn)題
大家應(yīng)該都知道try…catch的作用是測(cè)試代碼中的錯(cuò)誤,下面這篇文章主要給大家介紹了關(guān)于js中try?catch使用遇到的問(wèn)題,文中將問(wèn)題的解決辦法介紹的非常詳細(xì),需要的朋友可以參考下
2023-06-06
淺析使用BootStrap TreeView插件實(shí)現(xiàn)靈活配置快遞模板
這篇文章主要介紹了使用bootstrap-treeview插件實(shí)現(xiàn)靈活配置快遞模板的相關(guān)資料,非常不錯(cuò)，具有一定的參考借鑒價(jià)值，需要的朋友可以參考下
2016-11-11
JavaScript靜態(tài)的動(dòng)態(tài)
JavaScript靜態(tài)的動(dòng)態(tài)...
2006-09-09
js與jquery獲取父元素,刪除子元素的兩種不同方法
本篇文章主要是對(duì)js與jquery獲取父元素,刪除子元素的兩種不同方法進(jìn)行了介紹，需要的朋友可以過(guò)來(lái)參考下，希望對(duì)大家有所幫助
2014-01-01
Javascript 自定義類型方法小結(jié)
Javascript 常用自定義類型方法整理，需要的朋友可以參考下。
2010-03-03
js實(shí)現(xiàn)星星打分效果
這篇文章主要為大家詳細(xì)介紹了js實(shí)現(xiàn)星星打分效果，文中示例代碼介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下
2020-07-07
JS實(shí)現(xiàn)網(wǎng)頁(yè)自動(dòng)刷新腳本的方法
要自動(dòng)刷新網(wǎng)頁(yè),你可以使用JavaScript腳本來(lái)實(shí)現(xiàn),下面這篇文章主要給大家介紹了關(guān)于JS實(shí)現(xiàn)網(wǎng)頁(yè)自動(dòng)刷新腳本的相關(guān)資料,文中通過(guò)代碼介紹的非常詳細(xì),需要的朋友可以參考下
2023-11-11
js過(guò)濾特殊字符輸入適合輸入、粘貼、拖拽多種情況
這篇文章主要介紹了js過(guò)濾特殊字符輸入適合輸入、粘貼、拖拽多種情況,需要的朋友可以參考下
2014-03-03