项目采用的SSM,页面用的jsp格式(导致XSS产生的最大原因),其中用了很多EL表达式如 ,取根路径、 ,取URL参数。 在第三方测评的时候,由于页面上使用了很多这种语法,所以被爆出了大量的XSS漏洞。 解决办法。使用JSTL标签库的c标签解决了EL表达式容易被XSS注入的问题。 项目是多人协同开 ...
分类:
Web程序 时间:
2019-12-20 19:00:05
阅读次数:
125
1.前端 前端监听地址:ip:webSocket服务的端口号/webSocket/参数 // WebSocket相关 initWebSocket: function() { if (typeof WebSocket "undefined") { alert("您的浏览器不支持socket"); } ...
分类:
编程语言 时间:
2019-12-20 18:44:31
阅读次数:
111
1 <!DOCTYPE html> 2 <html> 3 <head lang="en"> 4 <meta charset="UTF-8"> 5 <title></title> 6 </head> 7 <body> 8 <div id="demo" class="one" title="鼠标经过"> ...
分类:
其他好文 时间:
2019-12-20 16:55:50
阅读次数:
94
原文地址:https://www.cnblogs.com/ken-admin/p/6405830.html JSON基础 JS操作JSON总结 JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,采用完全独立于语言的文本格式,是理想的数据交换格式。同时,JS ...
分类:
Web程序 时间:
2019-12-20 10:22:24
阅读次数:
107
使用如下代码即可: echo '<html>'; echo '<head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head>'; echo '<SCRIPT language=Javascript> ...
分类:
Web程序 时间:
2019-12-18 15:14:57
阅读次数:
128
微信的JS-SDK通过config接口注入权限验证配置,官网上的文档说的很清楚: Js代码 wx.config({ debug: true, // 开启调试模式,调用的所有api的返回值会在客户端alert出来,若要查看传入的参数,可以在pc端打开,参数信息会通过log打出,仅在pc端时才会打印。 ...
分类:
微信 时间:
2019-12-18 14:30:33
阅读次数:
109
1.反射xss(get) <script>alert(1)</script>(由于限制长度,需要修改前端的长度) 2.反射xss(post) 登陆后和第一个的情况一样,不过这里可以窃取客户端cookie 欺骗cookie过程:(好像这个过程和那个输入框没什么关系,主要是诱导用户点击) (1)诱导用户 ...
分类:
其他好文 时间:
2019-12-17 20:55:51
阅读次数:
85
"off"或者0 //关闭规则关闭 "warn"或者1 //在打开的规则作为警告(不影响退出代码) "error"或者2 //把规则作为一个错误(退出代码触发时为1) "no-alert": 0,//禁止使用alert confirm prompt "no-array-constructor": 2 ...
分类:
其他好文 时间:
2019-12-17 15:32:21
阅读次数:
74
document.getElementById(id).onclick = function(){code}; window:浏览器打开的窗口 事件属性:alert(message);警告框; setInterval(function(){},1000)定时器; clearInterval()取消定 ...
分类:
其他好文 时间:
2019-12-17 10:40:41
阅读次数:
101
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>js 点击事件</title> <script> function cherk(us){ if(us==''){ alert("请输入用户名") } } fun ...
分类:
Web程序 时间:
2019-12-17 00:53:40
阅读次数:
176