编程 Javascript

不要小看注释掉的JS 引起的安全问题

Posted in Javascript onDecember 27, 2008

一个是header插入问题。
另一个是\r\n问题。
我们来看这样一段代码：
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到，这好像有个漏洞，但是已经被补上了，注释掉了。
那既然注释掉了，就不该有问题了么？
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧？
生成了如下代码：
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉的JS，也执行了。
所以，不要把没用的代码，注释掉的JS等，扔到html里。
代码审核是个细活，任何疏漏之处都值得注意。

不要小看注释掉的JS 引起的安全问题

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Javascript 相关文章推荐

在Javascript中声明时用"var"与不用"var"的区别

Apr 15 Javascript

使用js写的一个简易的投票

Nov 27 Javascript

JavaScript常用脚本汇总（二）

Mar 04 Javascript

pace.js页面加载进度条插件

Sep 29 Javascript

javascript禁止超链接跳转的方法

Feb 02 Javascript

ES6新特性之模块Module用法详解

Apr 01 Javascript

JS获取日期的方法实例【昨天,今天,明天,前n天,后n天的日期】

Sep 28 Javascript

vue项目部署到Apache服务器中遇到的问题解决

Aug 24 Javascript

Vue封装的组件全局注册并引用

Jul 24 Javascript

vue实现表单录入小案例

Sep 27 Javascript

如何实现vue的tree组件

Dec 03 Vue.js

JS Canvas接口和动画效果大全

Apr 29 Javascript

JavaScript 检测浏览器和操作系统的脚本

Dec 26 #Javascript

javascript 对表格的行和列都能加亮显示

Dec 26 #Javascript

JavaScript 仿关机效果的图片层

Dec 26 #Javascript

jquery 插件任意位置浮动固定层

Dec 25 #Javascript

jquery 插件 web2.0分格的分页脚本，可用于ajax无刷新分页

Dec 25 #Javascript

jquery 图片预加载自动等比例缩放插件

Dec 25 #Javascript

jquery 插件之仿“卓越亚马逊”首页弹出菜单效果

Dec 25 #Javascript

You might like

深入for,while,foreach遍历时间比较的详解

2013/06/08 PHP

Laravel框架定时任务2种实现方式示例

2018/12/08 PHP

纯CSS3实现质感细腻丝滑按钮

2021/03/09 HTML / CSS

JQuery 绑定select标签的onchange事件，弹出选择的值，并实现跳转、传参

2011/01/06 Javascript

jqgrid 简单学习笔记

2011/05/03 Javascript

JS 无限级 Select效果实现代码(json格式)

2011/08/30 Javascript

jQuery中index()方法用法实例

2014/12/27 Javascript

JavaScript拖动层Div代码

2017/03/01 Javascript

原生js实现简单的Ripple按钮实例代码

2017/03/24 Javascript

javascript实现日期三级联动下拉框选择菜单

2020/12/03 Javascript

详解微信小程序canvas圆角矩形的绘制的方法

2018/08/22 Javascript

JavaScript常用数组操作方法,包含ES6方法

2020/05/10 Javascript

Ajax请求时无法重定向的问题解决代码详解

2019/06/21 Javascript

JavaScript算法学习之冒泡排序和选择排序

2019/11/02 Javascript

微信小程序服务器日期格式化问题

2020/01/07 Javascript

node.js基于dgram数据报模块创建UDP服务器和客户端操作示例

2020/02/12 Javascript

jquery轮播图插件使用方法详解

2020/07/31 jQuery

使用BeautifulSoup爬虫程序获取百度搜索结果的标题和url示例

2014/01/19 Python

用Python制作简单的钢琴程序的教程

2015/04/01 Python

使用Python & Flask 实现RESTful Web API的实例

2017/09/19 Python

详解python的sorted函数对字典按key排序和按value排序

2018/08/10 Python

python实现在遍历列表时,直接对dict元素增加字段的方法

2019/01/15 Python

10分钟用python搭建一个超好用的CMDB系统

2019/07/17 Python

python字典的常用方法总结

2019/07/31 Python

Python字符串格式化输出代码实例

2019/11/22 Python

Django 限制访问频率的思路详解

2019/12/24 Python

python、PyTorch图像读取与numpy转换实例

2020/01/13 Python

用Python开发app后端有优势吗

2020/06/29 Python

什么是servlet

2012/05/08 面试题

中专毕业个人的自荐信格式

2013/09/21 职场文书

人力资源专员岗位职责

2014/01/30 职场文书

职称评定自我鉴定

2014/03/18 职场文书

美术第二课堂活动总结

2014/07/08 职场文书

个人先进事迹材料范文

2014/12/29 职场文书

python3 删除所有自定义变量的操作

2021/04/08 Python

MySQL系列之四 SQL语法

2021/07/02 MySQL