首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Javascript

不要小看注释掉的JS 引起的安全问题

Posted in Javascript onDecember 27, 2008

一个是header插入问题。
另一个是\r\n问题。
我们来看这样一段代码:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,这好像有个漏洞,但是已经被补上了,注释掉了。
那既然注释掉了,就不该有问题了么?
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧?
生成了如下代码:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉的JS,也执行了。
所以,不要把没用的代码,注释掉的JS等,扔到html里。
代码审核是个细活,任何疏漏之处都值得注意。

不要小看注释掉的JS 引起的安全问题

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Javascript 相关文章推荐
学习js所必须要知道的一些
Mar 07 Javascript
msn上的tab功能Firefox对childNodes处理的一个BUG
Jan 21 Javascript
Javascript面向对象编程
Mar 18 Javascript
JSONP 跨域共享信息
Aug 16 Javascript
js中style.display=&quot;&quot;无效的解决方法
Oct 30 Javascript
AngularJS身份验证的方法
Feb 17 Javascript
Javascript基础之数组的使用
May 13 Javascript
jQuery插件FusionCharts实现的2D面积图效果示例【附demo源码下载】
Mar 06 Javascript
探讨Vue.js的组件和模板
Oct 27 Javascript
vue增加强缓存和版本号的实现方法
May 01 Javascript
JavaScript canvas基于数组生成柱状图代码实例
Mar 06 Javascript
vue-iview动态新增和删除的方法
Jun 17 Javascript
JavaScript 检测浏览器和操作系统的脚本
Dec 26 #Javascript
javascript 对表格的行和列都能加亮显示
Dec 26 #Javascript
JavaScript 仿关机效果的图片层
Dec 26 #Javascript
jquery 插件 任意位置浮动固定层
Dec 25 #Javascript
jquery 插件 web2.0分格的分页脚本,可用于ajax无刷新分页
Dec 25 #Javascript
jquery 图片预加载 自动等比例缩放插件
Dec 25 #Javascript
jquery 插件之仿“卓越亚马逊”首页弹出菜单效果
Dec 25 #Javascript
自动化(1) 数据类型(8) IOC(3) Bean(3) enumerate(1) zip(1) XML(1) Geospatial(1) metaclass(1) 触发器(3)
You might like
php实现webservice实例
2014/11/06 PHP
Yii中CArrayDataProvider和CActiveDataProvider区别实例分析
2016/03/02 PHP
详解PHP的Yii框架中的Controller控制器
2016/03/29 PHP
PHP调用微博接口实现微博登录的方法示例
2018/09/22 PHP
jQuery 借助插件Lavalamp实现导航条动态美化效果
2013/09/27 Javascript
浅谈javascript的Array.prototype.slice.call
2015/08/31 Javascript
JS小数运算出现多为小数问题的解决方法
2016/06/02 Javascript
Vue.js 父子组件通讯开发实例
2016/09/06 Javascript
jQuery实现base64前台加密解密功能详解
2017/08/29 jQuery
ES6的Fetch异步请求的实现方法
2018/12/07 Javascript
jQuery时间戳和日期相互转换操作示例
2018/12/07 jQuery
vue项目添加多页面配置的步骤详解
2019/05/22 Javascript
echarts饼图各个板块之间的空隙如何实现
2020/12/01 Javascript
Python break语句详解
2014/03/11 Python
跟老齐学Python之Python安装
2014/09/12 Python
Python中在脚本中引用其他文件函数的实现方法
2016/06/23 Python
python 打印对象的所有属性值的方法
2016/09/11 Python
Python网络编程之TCP与UDP协议套接字用法示例
2018/02/02 Python
Python输出\u编码将其转换成中文的实例
2018/12/15 Python
sublime3之内网安装python插件Anaconda的流程
2020/11/10 Python
CSS3教程(5):网页背景图片
2009/04/02 HTML / CSS
德国咖啡批发商:Coffeefair
2019/08/26 全球购物
一道写SQL的面试题和答案
2013/11/19 面试题
财务与信息服务专业推荐信
2013/11/28 职场文书
服务员岗位责任制
2014/02/11 职场文书
电大毕业生自我鉴定
2014/04/10 职场文书
协议书样本
2014/04/23 职场文书
学校志愿者活动总结
2014/06/27 职场文书
计算机相关专业自荐信
2014/07/02 职场文书
以幸福为主题的活动方案
2014/08/22 职场文书
2014乡镇党政班子四风问题思想汇报
2014/09/14 职场文书
小学感恩节活动策划方案
2014/10/06 职场文书
2014年学生会生活部工作总结
2014/11/07 职场文书
2016大学生诚信考试承诺书
2016/03/25 职场文书
2019年销售部季度工作计划3篇
2019/10/09 职场文书
基于Python和openCV实现图像的全景拼接详细步骤
2021/10/05 Python