欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

<cite id="lyyx5"></cite>

<sub id="lyyx5"><i id="lyyx5"></i></sub>

不要小看注釋掉的JS 引起的安全問題

更新時間：2008年12月27日 16:46:16 作者：

HTTP Response Splitting 攻擊主要說明的是兩個問題

一個是header插入問題。
另一個是\r\n問題。
我們來看這樣一段代碼：
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到，這好像有個漏洞，但是已經(jīng)被補上了，注釋掉了。
那既然注釋掉了，就不該有問題了么？
不是的。
再看這個URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很無奈吧？
生成了如下代碼：
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注釋掉的JS，也執(zhí)行了。
所以，不要把沒用的代碼，注釋掉的JS等，扔到html里。
代碼審核是個細活，任何疏漏之處都值得注意。

您可能感興趣的文章:

注釋
JS

相關(guān)文章

淺談JavaScript異常處理語句
考慮到 JS 中的錯誤可比服務器端的代碼產(chǎn)生的錯誤要多得多，并且還難以發(fā)現(xiàn)及修正，所以 JS 代碼必須有異常處理以及全局一場處理。
2015-06-06
JS 在指定數(shù)組中隨機取出N個不重復的數(shù)據(jù)
這篇文章主要介紹了JS 在指定數(shù)組中隨機取出N個不重復數(shù)據(jù)的方法,需要的朋友可以參考下
2014-06-06
js中try?catch使用遇到的問題
大家應該都知道try…catch的作用是測試代碼中的錯誤,下面這篇文章主要給大家介紹了關(guān)于js中try?catch使用遇到的問題,文中將問題的解決辦法介紹的非常詳細,需要的朋友可以參考下
2023-06-06
淺析使用BootStrap TreeView插件實現(xiàn)靈活配置快遞模板
這篇文章主要介紹了使用bootstrap-treeview插件實現(xiàn)靈活配置快遞模板的相關(guān)資料,非常不錯，具有一定的參考借鑒價值，需要的朋友可以參考下
2016-11-11
JavaScript靜態(tài)的動態(tài)
JavaScript靜態(tài)的動態(tài)...
2006-09-09
js與jquery獲取父元素,刪除子元素的兩種不同方法
本篇文章主要是對js與jquery獲取父元素,刪除子元素的兩種不同方法進行了介紹，需要的朋友可以過來參考下，希望對大家有所幫助
2014-01-01
Javascript 自定義類型方法小結(jié)
Javascript 常用自定義類型方法整理，需要的朋友可以參考下。
2010-03-03
js實現(xiàn)星星打分效果
這篇文章主要為大家詳細介紹了js實現(xiàn)星星打分效果，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2020-07-07
JS實現(xiàn)網(wǎng)頁自動刷新腳本的方法
要自動刷新網(wǎng)頁,你可以使用JavaScript腳本來實現(xiàn),下面這篇文章主要給大家介紹了關(guān)于JS實現(xiàn)網(wǎng)頁自動刷新腳本的相關(guān)資料,文中通過代碼介紹的非常詳細,需要的朋友可以參考下
2023-11-11
js過濾特殊字符輸入適合輸入、粘貼、拖拽多種情況
這篇文章主要介紹了js過濾特殊字符輸入適合輸入、粘貼、拖拽多種情況,需要的朋友可以參考下
2014-03-03

最新評論