|
|
1
5
是的,你看到的是一个反射式xss攻击。这很危险,因为它允许攻击者劫持经过身份验证的会话。如果您的系统上运行此代码,攻击者将能够访问其他人的帐户,而无需知道他们的用户名/密码。 XSS漏洞也可用于绕过 CSRF protection . 这是因为xss允许攻击者使用xmlhttprequest读取csrf令牌的值。xss也可以用来欺骗referer检查。 这里是手动测试xss的简单方法,这里我将跳出html注释来执行javascript。
这是免费的 xss scanner ,您应该测试您编写的所有应用程序。 |
|
|
2
1
jsp解析器将html注释处理为 模板文本 . 它不会忽略它的内容。HTML注释只被HTML解析器/解释器(WebBrowsers!)忽略。。您应该使用jsp注释来防止jsp解析器处理特定的代码片段。
注意
XSS的风险就在这里,因为你不能逃脱
用户控制
输入这里。请求参数完全由endser控制。例如,最终用户可以通过
你应该用
JSTL
|