弱點掃描反映有高風險問題,處理方法註記下
原寫法
<%
String TEST = "";
if ((request.getParameter("test")!=null)) TEST = request.getParameter("test");
%>
<input type="TEXT" id="TEST" name="TEST" value="<%=TEST %> />
在這方式下就GG惹
http://localhost/home?test=%22onmouseover%3D%22alert%28140%29%22
改寫法搞定
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
<input type="TEXT" id="TEST" name="TEST" value="${fn:escapeXml(param.test)}" />
轉跑道寫JSP 一些PHP跟C#處理的方式會有所不同,恩恩...記錄下
沒有留言:
張貼留言