首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 Javascript

不要小看注释掉的JS 引起的安全问题

Posted in Javascript onDecember 27, 2008

一个是header插入问题。
另一个是\r\n问题。
我们来看这样一段代码:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,这好像有个漏洞,但是已经被补上了,注释掉了。
那既然注释掉了,就不该有问题了么?
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧?
生成了如下代码:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉的JS,也执行了。
所以,不要把没用的代码,注释掉的JS等,扔到html里。
代码审核是个细活,任何疏漏之处都值得注意。

不要小看注释掉的JS 引起的安全问题

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

Javascript 相关文章推荐
Jquery实现的一种常用高亮效果示例代码
Jan 28 Javascript
jquery跨域请求示例分享(jquery发送ajax请求)
Mar 25 Javascript
解决jquery版本冲突的有效方法
Sep 02 Javascript
bootstrap网页框架的使用方法
May 10 Javascript
浅析javascript异步执行函数导致的变量变化问题解决思路
May 13 Javascript
node.js实现快速截图
Aug 27 Javascript
微信小程序实现tab和swiper切换结合效果
Jul 17 Javascript
vue.js中引入vuex储存接口数据及调用的详细流程
Dec 14 Javascript
在vue里面设置全局变量或数据的方法
Mar 09 Javascript
jQuery利用FormData上传文件实现批量上传
Dec 04 jQuery
详解vue-router导航守卫
Jan 19 Javascript
Electron实现应用打包、自动升级过程解析
Jul 07 Javascript
JavaScript 检测浏览器和操作系统的脚本
Dec 26 #Javascript
javascript 对表格的行和列都能加亮显示
Dec 26 #Javascript
JavaScript 仿关机效果的图片层
Dec 26 #Javascript
jquery 插件 任意位置浮动固定层
Dec 25 #Javascript
jquery 插件 web2.0分格的分页脚本,可用于ajax无刷新分页
Dec 25 #Javascript
jquery 图片预加载 自动等比例缩放插件
Dec 25 #Javascript
jquery 插件之仿“卓越亚马逊”首页弹出菜单效果
Dec 25 #Javascript
分布式追踪(1) HBuilder(1) 表结构(1) group by(1) Express(1) kubernetes(1) delete in(1) 查询效率(1) REGEXP(1) GPU(1)
You might like
用jquery与css打造个性化的单选框和复选框
2010/10/20 Javascript
html中table数据排序的js代码
2011/08/09 Javascript
js中eval()函数和trim()去掉字符串左右空格应用
2013/02/02 Javascript
教你用AngularJS框架一行JS代码实现控件验证效果
2014/06/23 Javascript
jQuery实现列表自动滚动循环滚动展示新闻
2014/08/22 Javascript
js脚本分页代码分享(7种样式)
2015/08/19 Javascript
jQuery插件Validate实现自定义表单验证
2016/01/18 Javascript
JS文件/图片从电脑里面拖拽到浏览器上传文件/图片
2017/03/08 Javascript
vue使用mint-ui实现下拉刷新和无限滚动的示例代码
2017/11/06 Javascript
vue在手机中通过本机IP地址访问webApp的方法
2018/08/15 Javascript
原生JS实现自定义下拉单选选择框功能
2018/10/12 Javascript
通过javascript实现段落的收缩与展开
2019/06/26 Javascript
小程序中使用css var变量(使js可以动态设置css样式属性)
2020/03/31 Javascript
Vue中computed及watch区别实例解析
2020/08/01 Javascript
vue封装自定义指令之动态显示title操作(溢出显示,不溢出不显示)
2020/11/12 Javascript
vuex的数据渲染与修改浅析
2020/11/26 Vue.js
Python中格式化format()方法详解
2017/04/01 Python
python  Django中的apps.py的目的是什么
2018/10/15 Python
django有外键关系的两张表如何相互查找
2020/02/10 Python
在Django中自定义filter并在template中的使用详解
2020/05/19 Python
德国香水、化妆品和护理产品网上商店:Parfumdreams
2018/09/26 全球购物
线程同步的方法
2016/11/23 面试题
团支书的期末学习总结自我评价
2013/11/01 职场文书
物流专业毕业生推荐信范文
2013/11/18 职场文书
班组长的岗位职责
2013/12/09 职场文书
高中微机老师自我鉴定
2014/02/16 职场文书
电子商务专业应届毕业生求职信
2014/06/21 职场文书
在校大学生自我评价范文
2014/09/12 职场文书
租房协议书
2014/09/12 职场文书
优秀教研组申报材料
2014/12/26 职场文书
黄山导游词
2015/01/31 职场文书
2015年新农村建设工作总结
2015/05/22 职场文书
有关浪费资源的建议书
2015/09/14 职场文书
写作技巧:如何撰写一份优秀的营销策划书
2019/08/13 职场文书
MySQL 数据恢复的多种方法汇总
2021/06/21 MySQL
macos系统如何实现微信双开? mac登录两个微信以上微信的技巧
2022/07/23 数码科技