<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<%@ page language="java" import="java.util.*,java.lang.*"
pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jstl/core_rt"%>
<%@ taglib prefix="sql" uri="http://java.sun.com/jstl/sql_rt"%>
<%@taglib uri="http://java.sun.com/jstl/fmt_rt" prefix="fmt"%>
<html>
<head>
<title> New Document </title>
<meta name="Generator" content="EditPlus">
<meta name="Author" content="">
<meta name="Keywords" content="">
<meta name="Description" content="">
<script type="text/javascript">
var kw = "<%=request.getParameter("sword")%>";
</script>
</head>
<body>
</body>
</html>
注入漏洞:
http://wap.51bi.com/wap/search/searchindex.jsp?page=1&sword=";alert('hacker');"
解决办法:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<%@ page language="java" import="java.util.*,java.lang.*"
pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jstl/core_rt"%>
<%@ taglib prefix="sql" uri="http://java.sun.com/jstl/sql_rt"%>
<%@taglib uri="http://java.sun.com/jstl/fmt_rt" prefix="fmt"%>
<%
String sword = request.getParameter("sword");
sword = sword.replace('<', ' ');
sword = sword.replace('>', ' ');
sword = sword.replace('"', ' ');
sword = sword.replace('\'', ' ');
sword = sword.replace('/', ' ');
sword = sword.replace('%', ' ');
sword = sword.replace(';', ' ');
sword = sword.replace('(', ' ');
sword = sword.replace(')', ' ');
sword = sword.replace('&', ' ');
sword = sword.replace('+', '_');
%>
<html>
<head>
<title> New Document </title>
<meta name="Generator" content="EditPlus">
<meta name="Author" content="">
<meta name="Keywords" content="">
<meta name="Description" content="">
<script type="text/javascript">
var kw = "<%=sword%>";
</script>
</head>
<body>
</body>
</html>
参考方案:
http://knowledge.twisc.ntust.edu.tw/doku.php?id=3%E4%BC%BA%E6%9C%8D%E7%AB%AF%E5%AE%89%E5%85%A8:3-3%E5%AE%89%E5%85%A8%E7%A8%8B%E5%BC%8F%E7%A2%BC%E5%AF%AB%E4%BD%9C:jsp%E9%81%BF%E5%85%8Dxss%E6%96%B9%E6%B3%95
分享到:
相关推荐
解决jsp页面乱码,页面信息配置,tomcat配置以及各种信息配置
动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html页面动态Jsp页面转换成静态Html...
文中介绍一下一些服务器(包括Web服务器和JSP服务器)的常见漏洞:Apache泄露重写的任意文件、在HTTP请求中添加特殊字符导致暴露JSP源代码文件、Tomcat的漏洞、Allair Jrun漏洞有...并且针对这些漏洞提出了解决方案。
JSP页面上出现中文乱码的几个解决办法 比较好的 一般都能解决问题
提升JSP页面响应速度的七大秘籍绝招提升JSP页面响应速度的七大秘籍绝招提升JSP页面响应速度的七大秘籍绝招
JSP页面跳转方法汇总,JSP页面跳转方法汇总
jsp页面显示中文乱码解决.rar
5种JSP页面显示为乱码的解决方法
任何jsp页面只要使用包含附件中的loading.jsp将自动拥有“页面正在加载的。。”提示信息,在页面加载完后将自动隐藏。 我为什么使用这个组件? 1。交互性。 客户清楚知道,你的页面是在加载,需要等待,而不用...
JSP页面增加遮罩
根据PDF的存放路径,将PDF文件显示在JSP页面,可显示多个,也可显示固定的一个 根据具体需求在JSP页面显示一个或者多个PDF
jsp页面引入KindEditor文本编辑器
jsp页面加载时提示loading!! jsp页面加载时提示loading!!
JSP中文问题解决办法,JSP页面传值,数据库等的中文乱码解决办法
如何解决JSP页面显示乱码问题
JSP 注册页面JSP 注册页面JSP 注册页面JSP 注册页面JSP 注册页面
JSP页面显示list的常用方法
几种JSP页面传值方式问题,很不错的东西,下载自己看吧
JSP 页面间传递参数是项目中经常需要的,这应该算是 web 基本功吧。试着将各种方式总结下来,需要时可以进行权衡利弊选择最合适的方式。下面来一起看看详细的介绍: 1. URL 链接后追加参数 <a>URL 后面追加参数 ...