2009-05-24 81 views

回答

0

哦,天啊!這基本上等同於允許用戶評估任意代碼。事後刪除XSS只會刪除一個潛在的漏洞。他們仍然可以做很多其他事情,如操縱POST參數或執行頁面重定向。

+0

它是否有任何選項來阻止某些內置變量,如請求...? – StoneHeart 2009-05-24 03:55:26

0

約翰是對的。讓用戶真正編輯freemarker模板本身似乎很奇怪。如果您再次輸出用戶輸入(例如在結果頁面上顯示搜索詞),我建議使用內置的?html字符串,它可以幫助您避免最基本的xss攻擊(例如,「您搜索了'$ {項?HTML}'「)。

相關問題