js注释:不要小看注释掉的JS 引起的安全问题

来源: 发布时间:星期日, 2008年12月28日浏览:238次评论:0

个是header插入问题

另

个是\r\n问题

我们来看这样

段代码:
1. test
2. <script>
3. //alert('<%=request.getParameter("username")%>');
4. </script>
大家都能看到

这好像有个漏洞

但是已经被补上了

注释掉了

那既然注释掉了

就不该有问题了么？
不是

再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧？
生成了如下代码:
test
<script>
//alert('kxlzx
alert('kxlzx ');
</script>
注释掉

也执行了

所以

不要把没用

代码

注释掉

JS等

扔到html里

代码审核是个细活

任何疏漏的处都值得注意

标签：html注释 js注释符号注释js代码 js注释

我顶

专注于互联网--专注于架构