jeecg3-7-6 xss 嵌入script代码问题
我在本地部署的jeecg3-7-6版本,在浏览器地址栏直接输入http://localhost:8080/jeecg376/loginController.do?login%3Cscript%3Ealert(1)%3C/script%3E,会弹出alert提醒,存在xss攻击问题,但是我看官方的demo.jeecg.org就没有这样的错误提醒和alert弹窗出现。问题出现是火狐浏览器,chrome浏览器不出现弹窗。 我本地部署版本将 “sql注入拦截器”部分也解除注释了,还是出现这样的问题,这个该怎么解决呢。
下载最新版本3.8运行看看 fly1206 发表于 2018-10-26 10:27 static/image/common/back.gif
下载最新版本3.8运行看看
你好,我测试了还是出现这样的问题。
3-8下的错误是org.springframework.web.bind.UnsatisfiedServletRequestParameterException: Parameter conditions "primaryMenu" not met for actual request parameters: login<script>alert(1)</script>={} !完善!
该alert弹窗出现,缘由是输入参数错误,exception出现后会在error.jsp页面中输出错误的详细信息,将url参数中附带的'<script>xxxx</script>'错误信息一并输入到浏览器页面中,浏览器执行js脚本输出弹窗。
页:
[1]