标签: playframework xss playframework-1.x
在Play框架中,Flash cookie未签名,使用户可以对其进行修改。当我用它将错误信息从一个请求传递到另一个请求并在我的模板中将其打印出来时
&{flash.error}
错误消息可能包含恶意html注入代码。 这正是框架教程告诉我的方式,所以它真的是一个安全漏洞,还是我只是偏执狂?
答案 0 :(得分:0)
这取决于你从哪里获得闪光值。如果你从你设置的脚本中的字符串生成它,那么这很好,但是当你使用该机制回发用户输入时,你会遇到安全问题。