不要小看注釋掉的JS 引起的安全問(wèn)題
更新時(shí)間:2008年12月27日 16:46:16 作者:
HTTP Response Splitting 攻擊主要說(shuō)明的是兩個(gè)問(wèn)題
一個(gè)是header插入問(wèn)題。
另一個(gè)是\r\n問(wèn)題。
我們來(lái)看這樣一段代碼:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,這好像有個(gè)漏洞,但是已經(jīng)被補(bǔ)上了,注釋掉了。
那既然注釋掉了,就不該有問(wèn)題了么?
不是的。
再看這個(gè)URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無(wú)奈吧?
生成了如下代碼:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS,也執(zhí)行了。
所以,不要把沒(méi)用的代碼,注釋掉的JS等,扔到html里。
代碼審核是個(gè)細(xì)活,任何疏漏之處都值得注意。
另一個(gè)是\r\n問(wèn)題。
我們來(lái)看這樣一段代碼:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,這好像有個(gè)漏洞,但是已經(jīng)被補(bǔ)上了,注釋掉了。
那既然注釋掉了,就不該有問(wèn)題了么?
不是的。
再看這個(gè)URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無(wú)奈吧?
生成了如下代碼:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS,也執(zhí)行了。
所以,不要把沒(méi)用的代碼,注釋掉的JS等,扔到html里。
代碼審核是個(gè)細(xì)活,任何疏漏之處都值得注意。
相關(guān)文章
JS 在指定數(shù)組中隨機(jī)取出N個(gè)不重復(fù)的數(shù)據(jù)
這篇文章主要介紹了JS 在指定數(shù)組中隨機(jī)取出N個(gè)不重復(fù)數(shù)據(jù)的方法,需要的朋友可以參考下2014-06-06淺析使用BootStrap TreeView插件實(shí)現(xiàn)靈活配置快遞模板
這篇文章主要介紹了使用bootstrap-treeview插件實(shí)現(xiàn)靈活配置快遞模板的相關(guān)資料,非常不錯(cuò),具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2016-11-11JavaScript靜態(tài)的動(dòng)態(tài)
JavaScript靜態(tài)的動(dòng)態(tài)...2006-09-09JS實(shí)現(xiàn)網(wǎng)頁(yè)自動(dòng)刷新腳本的方法
要自動(dòng)刷新網(wǎng)頁(yè),你可以使用JavaScript腳本來(lái)實(shí)現(xiàn),下面這篇文章主要給大家介紹了關(guān)于JS實(shí)現(xiàn)網(wǎng)頁(yè)自動(dòng)刷新腳本的相關(guān)資料,文中通過(guò)代碼介紹的非常詳細(xì),需要的朋友可以參考下2023-11-11