Как написать страницу Jsp, которая открывает JSbox.
основные уязвимости, которые относятся к этому, например.
jsp для отображения предупреждений
04.08.2013
Ответы:
1
Я просто буду беспокоиться о проблемах межсайтового скриптинга, вызванных внедрением HTML и JS. CSRF, кажется, еще не проблема, потому что просто предупреждение «hello» не имеет никаких активных побочных эффектов, для которых вам нужно было бы войти в систему.
Тупой способ сделать это:
<script type="text/javascript">
alert('Hello, <%= request.getParameter("name") %>');
</script>
Это страдает от внедрения JS, потому что внутри строкового литерала JS нет экранирования JS:
name=');execute_arbitrary_code();'
а также страдает от внедрения HTML, потому что закрывающий блок скрипта может быть закрыт раньше:
name=</script><script>execute_arbitrary_code();//
К сожалению, в JSP нет стандартного тега, который экранирует текст в строковом литерале JS (то есть в блоке скрипта HTML). Вы можете написать и использовать свой собственный тег для этого или повторно использовать библиотеку, которая его определяет. Например, OWASP ESAPI имеет:
<script type="text/javascript">
alert('Hello, <esapi:encodeForJavaScript>${param.name}</esapi:encodeForJavaScript>');
</script>
Но зачастую проще не кодировать в JS, а вместо этого проталкивать данные через DOM. Поскольку DOM — это обычный HTML, вам нужно только обычное экранирование разметки, которое JSP изначально имеет в теге <c:out>.
<input type="hidden" id="name-parameter" value="<c:out value="${param.name}"/>"/>
<script type="text/javascript">
var name = document.getElementById('name-parameter').value;
alert('Hello, '+name);
</script>
Это помогает в достижении долгосрочной цели — отделить ваш JS от вашей разметки и кода на стороне сервера. Атрибуты data- — еще один хороший способ передать данные из разметки в JS.
05.08.2013
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально
Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение
Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования
Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv)
Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..