1
在播放框架中,Flash cookie未簽名,使用戶可以對其進行修改。當我在我的模板,用它來從一個請求傳遞錯誤信息到另一個,並打印這樣通過Flash播放框架xss成功/錯誤消息
&{flash.error}
錯誤消息可能包含一個邪惡的HTML注入代碼。 這正是框架教程告訴我要做的事情,所以它真的是一個安全漏洞,或者我只是偏執狂?
A
回答
0
這取決於你從哪裏獲取flash值。如果您是通過您設置的腳本中的字符串生成的,那麼這很好,但是當您使用該機制回發用戶輸入時,會遇到安全問題。
相關問題
- 1. 播放框架InjectedRoutesGenerator錯誤
- 2. 播放框架錯誤
- 3. 播放框架表單驗證消息
- 4. 通過播放框架處理JSON 1.2.3
- 5. 通過AJAX返回數據和成功/錯誤消息
- 6. ASP.NET通過錯誤消息
- 7. Django消息框架 - 如何僅顯示成功消息
- 8. 播放框架中的錯誤處理
- 9. 播放框架形式錯誤處理
- 10. 播放框架測試錯誤
- 11. 播放框架依賴注入錯誤
- 12. Heroku錯誤運行播放框架2
- 13. 開始播放框架錯誤
- 14. 播放框架2.0控制檯錯誤
- 15. 播放框架油滑HikariCP錯誤
- 16. 播放框架1.2.5模板錯誤
- 17. 播放框架測試錯誤
- 18. 表單錯誤的i18n播放框架
- 19. 播放框架無法識別錯誤?
- 20. 播放框架initial-data.yml解析錯誤
- 21. 播放框架路由錯誤
- 22. 構建錯誤在播放框架
- 23. 播放框架重定向錯誤
- 24. 播放框架異步響應錯誤
- 25. JPA @ElementCollection播放框架錯誤
- 26. PlayMagicForJava播放錯誤!框架應用?
- 27. 未顯示Flash成功消息
- 28. PHP PDO錯誤和成功消息
- 29. 展會的成功或錯誤消息
- 30. Kohana成功/錯誤消息方法