编程 Javascript

不要小看注释掉的JS 引起的安全问题

Posted in Javascript onDecember 27, 2008

一个是header插入问题。
另一个是\r\n问题。
我们来看这样一段代码：
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到，这好像有个漏洞，但是已经被补上了，注释掉了。
那既然注释掉了，就不该有问题了么？
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧？
生成了如下代码：
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉的JS，也执行了。
所以，不要把没用的代码，注释掉的JS等，扔到html里。
代码审核是个细活，任何疏漏之处都值得注意。

不要小看注释掉的JS 引起的安全问题

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Javascript 相关文章推荐

js实现翻页后保持checkbox选中状态的实现方法

Nov 03 Javascript

Jquery选中或取消radio示例

Sep 29 Javascript

jquery中push()的用法(数组添加元素)

Nov 25 Javascript

PHP中CURL的几个经典应用实例

Jan 23 Javascript

AngularJS入门心得之directive和controller通信过程

Jan 25 Javascript

jquery实现下拉框多选方法介绍

Jan 03 Javascript

浅谈js中用$(#ID)来作为选择器的问题(id重复的时候)

Feb 14 Javascript

js eval函数使用,js对象和字符串互转实例

Mar 06 Javascript

详解用webpack把我们的业务模块分开打包的方法

Jul 20 Javascript

菊花转动的jquery加载动画效果

Aug 19 jQuery

vue webpack重写cookie路径的方法

Jul 10 Javascript

javascript canvas封装动态时钟

Sep 30 Javascript

JavaScript 检测浏览器和操作系统的脚本

Dec 26 #Javascript

javascript 对表格的行和列都能加亮显示

Dec 26 #Javascript

JavaScript 仿关机效果的图片层

Dec 26 #Javascript

jquery 插件任意位置浮动固定层

Dec 25 #Javascript

jquery 插件 web2.0分格的分页脚本，可用于ajax无刷新分页

Dec 25 #Javascript

jquery 图片预加载自动等比例缩放插件

Dec 25 #Javascript

jquery 插件之仿“卓越亚马逊”首页弹出菜单效果

Dec 25 #Javascript

You might like

在IIS上安装PHP4.0正式版

2006/10/09 PHP

PHP时间戳与日期之间转换的实例介绍

2013/04/19 PHP

Yii2 中实现单点登录的方法

2018/03/09 PHP

Laravel Eloquent分表方法并使用模型关联的实现

2019/11/25 PHP

Thinkphp集成抖音SDK的实现方法

2020/04/28 PHP

jquery创建一个新的节点对象(自定义结构/内容)的好方法

2013/01/21 Javascript

JS注册/移除事件处理程序(ExtJS应用程序设计实战)

2013/05/07 Javascript

jquery淡化版banner异步图片文字效果切换图片特效

2014/04/08 Javascript

jquery插件star-rating.js实现星级评分特效

2015/04/15 Javascript

JavaScript组件开发完整示例

2015/12/15 Javascript

用jQuery.ajaxSetup实现对请求和响应数据的过滤

2016/12/20 Javascript

js判断iframe中元素是否存在的实现代码

2016/12/24 Javascript

详解NodeJs开发微信公众号

2018/05/25 NodeJs

javascript实现遮罩层动态效果实例

2019/05/14 Javascript

微信小程序如何获取网络状态

2019/07/26 Javascript

vue 实现模糊检索并根据其他字符的首字母顺序排列

2019/09/19 Javascript

基于Vue sessionStorage实现保留搜索框搜索内容

2020/06/01 Javascript

vue+Element-ui实现登录注册表单

2020/11/17 Javascript

[06:43]2018DOTA2国际邀请赛寻真——VGJ.Thunder

2018/08/11 DOTA

零基础写python爬虫之神器正则表达式

2014/11/06 Python

Python科学计算之NumPy入门教程

2017/01/15 Python

python读写json文件的简单实现

2017/04/11 Python

Python KMeans聚类问题分析

2018/02/23 Python

TensorFlow实现Softmax回归模型

2018/03/09 Python

浅谈python的elementtree模块处理中文注意事项

2020/03/06 Python

使用keras根据层名称来初始化网络

2020/05/21 Python

python 实现Requests发送带cookies的请求

2021/02/08 Python

Elemis美国官网：英国的第一豪华护肤品牌

2018/03/15 全球购物

房产委托公证书样本

2014/04/04 职场文书

2014最新房贷收入证明范本

2014/09/12 职场文书

2014年乡镇安全生产工作总结

2014/12/02 职场文书

初中作文评语集锦

2014/12/25 职场文书

劳资员岗位职责

2015/02/13 职场文书

PyTorch梯度裁剪避免训练loss nan的操作

2021/05/24 Python

实体类或对象序列化时,忽略为空属性的操作

2021/06/30 Java/Android

Vue实现导入Excel功能步骤详解

2021/07/03 Vue.js