欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

不要小看注釋掉的JS 引起的安全問(wèn)題

 更新時(shí)間:2008年12月27日 16:46:16   作者:  
HTTP Response Splitting 攻擊主要說(shuō)明的是兩個(gè)問(wèn)題
一個(gè)是header插入問(wèn)題。
另一個(gè)是\r\n問(wèn)題。
我們來(lái)看這樣一段代碼:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,這好像有個(gè)漏洞,但是已經(jīng)被補(bǔ)上了,注釋掉了。
那既然注釋掉了,就不該有問(wèn)題了么?
不是的。
再看這個(gè)URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無(wú)奈吧?
生成了如下代碼:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS,也執(zhí)行了。
所以,不要把沒(méi)用的代碼,注釋掉的JS等,扔到html里。
代碼審核是個(gè)細(xì)活,任何疏漏之處都值得注意。

相關(guān)文章

最新評(píng)論