Java代码审计-系统信息泄露 jsp中使用html注释

 

 

低危

系统中存在大量JSP页面当中注释采用HTML注释，而不是JSP注释的情况。

此情况下，攻击者在浏览器浏览页面的时候，右键查看页面源代码，可以看到HTML注释内的信息，很多时候甚至是代码块，导致系统信息泄露。

 

Jsp html 注释区别：

(1)HTML页面注释-----这里面的注释会被编译（加载页面时，会进行语法判断，取需要的变量默认值）

<!-- 这里面的注释在查看页面源代码时，依旧可以看到，另外页面加载时这里面注释的内容仍旧会编译 -->

(2)jsp页面注释------这里之后的注释都不会被编译

<%--JSP中的注释，这里面的内容在查看页面源代码时，看不到这里面注释书写的内容 --%>

 

所以涉及业务的建议使用<%--  --%>注释，文字描述性的使用<!--   -->注释。