2回答
我们有一个非常旧的web服务器,上面有一些JSP页面,如下所示。我想我已经用白名单"a-zA-Z0-9*“检查了输入参数"version”。但是CheckMarx仍然收到XSS attach警告:“这种不可信的数据没有经过适当的杀毒或编码就被直接嵌入到输出中,使得攻击者能够将恶意代码插入到输出中。”您知道如何在JSP页面中正确执行此操作吗?它只是用来显示来自参数输入的内容。
浏览 172提问于2021-02-01得票数 1
回答已采纳
2回答
在静态分析期间,我的JSP代码中出现了XSS漏洞。实际上,我将请求从我的servlet转发到JSP页面。Requets包含一个JSON字符串。在JSP页面中,我从这个appId对象中检索JSON值。我使用这个XHR值通过appId调用检索更多信息。var appId;var appContextStr=<%=request.getP
浏览 0提问于2013-04-19得票数 0
回答已采纳
3回答
我有我的网站,当我输入'==alert(1)==‘会导致该网站打开一个对话框,导致一个反射的XSS。
当我尝试其他网站,如谷歌或facebook,它们都会导致一个404页找不到。如何在我的网站中创建这样的功能,以避免未来任何与XSS相关的安全问题。
浏览 0提问于2019-03-20得票数 0
2回答
我有一个简单的web应用程序,其中我使用ajax从一个jsp页面(通过post)调用一个java servlet。在servlet中,我从数据库中获取数据,并在jsp页面中形成一个JSON并进行检索。然后,我使用eval函数解析json,并使用innerHTML属性显示分区中的数据。不知何故,这种方法似乎容易受到xss攻击。有人能提供一些关于如何在这个用例中防止XSS</e
浏览 3提问于2012-07-04得票数 1
回答已采纳
5回答
我一直在阅读关于XSS的文章,我创建了一个包含文本和提交输入的简单表单,但是当我在其上执行<script>alert();</script>时,什么也没有发生,服务器获得了该字符串,仅此而已。
浏览 3提问于2010-05-25得票数 8
回答已采纳
2回答
我希望当我的页面,如index.jsp加载(调用get方法)时,为index.jsp页面发送数据,如标题。我检查了这个问题,但是这个问题解决方案()在我的web应用程序中有错误。这是我的index.jsp页面代码(我想从changeTitle.java类发送标题):
<title><c:import url="/sysAdmin/changeTitle
浏览 3提问于2014-12-20得票数 1
我想将在一个jsp页面的一个文本框中输入的值转移到另一个jsp页面的另一个文本框中。
请帮帮我..
浏览 0提问于2012-02-16得票数 0
我们公司计划使用KnockoutJS,但我发现在Knockoutjs中讨论安全问题。他们说,人们可以很容易地在数据绑定属性中注入恶意代码。knockout-2.3.0.js"></script><script> </script>
我对XSS有人能告诉我当一个页面在客户端PC上呈现的时候,人们如何才
浏览 5提问于2015-02-13得票数 10
回答已采纳
2回答
我想知道你对使用代码触发器开发.html网页网站有什么看法?使用CI开发静态站点/pages.html好吗?我也想用CI实现更好的SEO。
浏览 1提问于2010-12-04得票数 0
回答已采纳
如何在codeigniter中禁用XSS清理特定页面?我是新的codeigniter框架。如何解决这个问题?
浏览 0提问于2016-10-13得票数 0
我有3种类型的文件(XML、PDF、zip),它们存储在我的服务器文件中,并通过请求(当客户机单击按钮时)以base64格式发送给用户(客户端)。这些文件被下载到用户计算机,而不显示(在HTML页面上)。我使用Checkmarx服务进行了安全测试,并收到了安全问题:
MyFile.js第58行的方法函数为readFileSync元素从数据库中获取数据。该元素的值在没有经过正确过滤或编码的情况下在代码中流动,并最终在MyFile.js第58行的方法函数中显示给用户。这可能使存储的跨站点脚本攻击(XS
浏览 1提问于2018-09-02得票数 1
1回答
当我将JavaScript插入数据库,然后查询数据库并在页面上输出结果时,它会给出数据库上的JavaScript警报。
浏览 0提问于2014-10-22得票数 2
回答已采纳
2回答
我正在使用Struts-2框架在java中创建一个web门户。我们希望了解Java门户中可能存在哪些漏洞,以及如何防止我的门户链接到them.Related链接中。
浏览 5提问于2014-06-11得票数 1
回答已采纳
1回答
我在JSP中定义了一个input标记:在beanUseVec.java中,相应的函数getValue()定义为:
public String get
浏览 0提问于2013-06-05得票数 1
回答已采纳
1回答
首先,这只是一个到目前为止似乎工作得很好的POC,基本上我想知道您对这种解决方案的看法。问题是:This is your car color ${car.color}ModelAndView mv = new ModelAndView("page3;<;&#x
浏览 0提问于2012-12-20得票数 0
它与我的工作很好,但我有这个问题后,我选择的值文本输入选择器橙色被移除<input type="text" size="30" value="" id="inputString" onkeyuplookup(inputString) {$('#suggestions').hide();$.post("states.jsp
浏览 0提问于2013-10-07得票数 0
1回答
你能指导我如何在jsp中打开ePUB文件吗?我明白,我需要调用一些第三方工具,如Adobe Digital for ePUB。但是如何在JSP页面中嵌入Adobe Digital呢?
浏览 0提问于2012-07-20得票数 0
1回答
我正在致力于一个网站,目前是易受XSS攻击。据我所知,防止这种情况的最佳办法是:
清理和转义将显示在网页上的任何字符串。在将字符串添加到MVC对象后,是否应该在将字符串发送到JSP之前对它们进行清理和转义?我在这种方法中看到的问题是,有太多带有字符串参数的对象,对每个对象进行清理将是一件痛苦的事情。
浏览 10提问于2017-10-27得票数 0
回答已采纳
2回答
我已经使用JSTL标签修复了Fortify在我的JSP上报告的XSS漏洞问题,但在使用之后,虽然XSS漏洞问题得到了解决,但它导致了一个新的问题,即“XSS:糟糕的验证”。为了解决这个糟糕的验证问题,我还可以实现哪些其他可能的解决方案?
Fortify建议HTML/ XML/ URL编码不是一个好的做法,因为代码将在运行时被解码,这仍然可能导致XSS攻击。我有字段,用户可以提供输入以及从数据库中读
浏览 2提问于2013-02-15得票数 0
云服务器
ICP备案
云直播
腾讯会议
实时音视频
腾讯云开发者
