0x00:介绍
这个问题很简单,甚至不算问题,可以把它归类到代码质量类。该问题顾名思义,即在JSP文件中使用了HTML注释。JSP的注释为<%-- --%>,HTML注释为<!-- -->。而JSP中除了本身注释外,HTML注释同样有效。
但也有区别之分,区别在于,JSP本身的注释内容我们右键源码是查看不到的,而JSP中使用HTML注释后,右键源码可查看注释内容。危害点和信息泄露属于一类,恶意攻击者可通过注释搜集有关程序的信息
0x01:试验
以上介绍已经说明清楚,这里我们直接贴图看对比,JSP使用HTML注释的源码及效果图如下。
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Con