当前位置: 首页 > 图文教程 > 网络编程 > Javascript > 不要小看注释掉的JS 引起的安全问题

Javascript
用JavaScript绘图 ——JS2D函数集
javascript引用对象的方法
新手入门常用代码集锦
JS也玩OO继承
使用JS+XML(数据岛)实现分页)
JScript重载的另类实现
window.showModalDialog使用手册
JavaScript基本对象
cssQuery()的下载与使用方法
用js实现多域名不同文件的调用方法
用htc组件制作windows选项卡
对javascript基本对象的属性以及方法的实例介绍
新浪的图片新闻效果
JavaScript 经典效果集
怎样在html文档里做隔行换色的多行方法
怎么在下面的HTML里调用数组cs[]的值
新浪滑门技术
兼容FF&IE的滚动代码
javaScript对象和属性的创建方法
js用于树型结构级联选择

Javascript 中的 不要小看注释掉的JS 引起的安全问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-12   浏览: 381 ::
收藏到网摘: n/a

HTTP Response Splitting 攻击主要说明的是两个问题 一个是header插入问题。
另一个是\r\n问题。
我们来看这样一段代码:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到,这好像有个漏洞,但是已经被补上了,注释掉了。
那既然注释掉了,就不该有问题了么?
不是的。
再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧?
生成了如下代码:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉的JS,也执行了。
所以,不要把没用的代码,注释掉的JS等,扔到html里。
代码审核是个细活,任何疏漏之处都值得注意。