标签: jsp xss
我在xss上不是很好,我想问一下在jsp页面中是否安全:
<jsp:forward page="<%=somePage%>" />
其中somePage可以包含来自请求参数的输入,例如test='XSS'?
somePage
test='XSS'
然后该链接将显示为myjsp.jsp?test=XSS
myjsp.jsp?test=XSS
谢谢。
答案 0 :(得分:1)
不,它根本不安全。您基本上是让最终用户选择转发的位置。最终用户可以例如传递/WEB-INF/web.xml,并且他们将获得web.xml文件,该文件不应该是公共的。
/WEB-INF/web.xml