一个是header插入问题。 另一个是rn问题。 我们来看这样一段代码： 1. test 2. <script> 3. //alert('<%=request.getParameter("username")%>'); 4. </script> 大家都能看到，这好像有个漏洞，但是已经被补上了，注释掉了。 那既然注释掉了，就不该有问题了么？ 不是的。 再看这个URL http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx 很无奈吧？ 生成了如下代码： test <script> //alert('kxlzx alert('kxlzx '); </script> 注释掉的JS，也执行了。 所以，不要把没用的代码，注释掉的JS等，扔到html里。 代码审核是个细活，任何疏漏之处都值得注意。

　　推荐阅读

　　My Desktop :) 桌面式代码

复制代码 代码如下:<body bgcolor="black"> <script language = "javascript"> function loadframe(url) { mainone.innerHTML = "<iframe src='" + url + "' width='100%' height='500'></iframe>"; } function lo>>>详细阅读

本文标题：不要小看注释掉的JS 引起的安全问题

地址：http://www.17bianji.com/kaifa2/JS/29077.html

 1/2    1