关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、418799587 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

查看: 14403|回复: 3

[系统权限] jeecg3-7-6 xss 嵌入script代码问题

[复制链接]
发表于 2018-10-26 10:13:33 | 显示全部楼层 |阅读模式
我在本地部署的jeecg3-7-6版本,在浏览器地址栏直接输入http://localhost:8080/jeecg376/loginController.do?login%3Cscript%3Ealert(1)%3C/script%3E,会弹出alert提醒,存在xss攻击问题,但是我看官方的demo.jeecg.org就没有这样的错误提醒和alert弹窗出现。

问题出现是火狐浏览器,chrome浏览器不出现弹窗。 我本地部署版本将 “sql注入拦截器”部分也解除注释了,还是出现这样的问题,这个该怎么解决呢。
发表于 2018-10-26 10:27:37 | 显示全部楼层
下载最新版本  3.8  运行看看
 楼主| 发表于 2018-10-26 11:15:45 | 显示全部楼层
fly1206 发表于 2018-10-26 10:27
下载最新版本  3.8  运行看看

你好,我测试了还是出现这样的问题。
3-8下的错误是org.springframework.web.bind.UnsatisfiedServletRequestParameterException: Parameter conditions "primaryMenu" not met for actual request parameters: login<script>alert(1)</script>={}
 楼主| 发表于 2018-11-1 16:31:00 | 显示全部楼层
!完善!
该alert弹窗出现,缘由是输入参数错误,exception出现后会在error.jsp页面中输出错误的详细信息,将url参数中附带的'<script>xxxx</script>'错误信息一并输入到浏览器页面中,浏览器执行js脚本输出弹窗。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表