2018年1月10日
Java过滤XSS脚本, 可通过Appscan扫描
摘要: 项目中有时会需要把一些报错或者解决方案直接返回给前端, 如果直接返回原字符串, 可能会被恶意传参来实现xss注入. 例如常规业务访问一个页面读取文件&file=sdf.cpt, 如果文件不存在, 则页面返回没有找到sdf.cpt的报错. 恶意传参即: &file=sdf.cpt<script>ale 阅读全文
posted @ 2018-01-10 17:02 大道方圆 阅读(752) 评论(0) 推荐(0) 编辑