我在linux上的应用程序中使用rich:fileUpload,当我尝试上传任何包含文件名中的html代码的文件,即"file<img src=xyz onerror=alert('TEST')>Name.png"时,它会在上传文件之前给出javascript警报。我在现场演示中尝试了它,并在那里发现了同样的问题。如何在linux上限制/转义文件名中html / script或XSS的执行?
您可以按照Linux上的步骤自行尝试。
创建名为"file<img src=xyz onerror=alert('TEST')>Name.png"的文件
访问rich:使用下面的url在richfaces上展示fileUpload演示。
上传文件,您将看到一个javascript警报。
http://showcase.richfaces.org:8000/richfaces/component-sample.jsf?demo=fileUpload&skin=blueSky
答案 0 :(得分:-1)
我尝试上传任何包含文件名中的html代码的文件,即 “fileName.png”。
你在文件名中说html代码,但我在“fileName.png”中没有看到任何html。
如果我没错,文件名应该是file<img src=x onerror=alert('Javascript')>.pdf。