dorado7中碰到的xss问题解决

最新推荐文章于 2024-06-27 09:00:34 发布
最新推荐文章于 2024-06-27 09:00:34 发布
阅读量333 收藏
点赞数
文章标签: dorado中xss漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_11910/article/details/82525582
版权

关于dorado7中xss问题解决.

之前的写法是拿到参数,然后拼成html放到htmlcontainer中.

其实逻辑很简单,接收错误信息,然后页面上显示出来.

 

这个时候还是发现淘宝检测出xss漏洞.传递的参数?error_code=&error_msg=31'13""42>24<99

 

var error_code="${request.getParameter('error_code')}";

var error_msg="${request.getParameter('error_msg')}";

var endHtml = "<h3>对不起!充值失败!</h3>";

endHtml = endHtml +"请联系管理员."+"<br/>错误代码:"+error_code+"<br/>错误信息:"+error_msg;

alert("endHtml:"+endHtml);

$("#notice").html(endHtml);

 

想来想去,dorado直接获取参数都有问题.

或者经过ajaxaction,调用StringEscapeUtils.escapeHtml转换数据

都不理想,

想来想去用最古老的方法.使用jsp来处理.

<div id="notice" class="notice n-error">

   <h3>对不起!充值失败!</h3>请联系管理员.<br/>错误代码:<%=StringEscapeUtils.escapeHtml(request.getParameter("error_code"))%><br/>错误信息:<%=request.getParameter("error_msg") %>

</div>

这样做测试的时候 偶然发现dorado貌似做了些处理.

如果error_msg直接传入<script>alert(1);</script> doraodo报错.

修改成

<div id="notice" class="notice n-error">

    <h3>对不起!充值失败!</h3>请联系管理员.<br/>错误代码:<%=StringEscapeUtils.escapeHtml(request.getParameter("error_code"))%><br/>错误信息:<%=StringEscapeUtils.escapeHtml(request.getParameter("error_msg")) %>

</div>

就一切ok了.

 

 

 

 

iteye_11910
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dorado7-eclipse研发工具
07-25
在这款研发工具,`README.txt` 文件通常包含了安装指南、使用方法以及可能遇到的问题解决方案,是初学者快速上手的关键文档。务必仔细阅读以了解工具的完整信息。 `docs` 目录则包含了框架的官方文档,可能包括...
Dorado7/9开发环境 (解压即用Eclipse+dorado插件)支持dorado7和dorado9
12-23
标题的"Dorado7/9开发环境 (解压即用Eclipse+dorado插件)支持dorado7和dorado9"表明这是一个专为Dorado7和Dorado9开发设计的集成开发环境(IDE)。这个环境基于Eclipse,一个广泛使用的开源Java IDE,它已经被扩展...
dorado7.x 下拉复选框实现以及位置浮动不固定在下拉框的问题解决办法
chlx2008的专栏
12-03 496
在所需的property,设置trigger 下一步: 设置onExcute: var ChannelInputs=view.get("#ChannelInputs"); view.get("#dataSetChannel").flushAsync(); ChannelInputs.show({   anchorTarget: view.get("#noticeChannel"),/...
dorado7运行时虚拟机出错解决办法
NCITS的专栏
04-22 844
1.安装好dorado7后当打开的时候会弹出个错误;   2.解决办法: 我的dorado7是安装在D盘,如D:\dorado7\eclipse下找到eclipse.ini,用记事本打开如下:   -startup plugins/org.eclipse.equinox.launcher_1.2.0.v20110502.jar --launcher.library plugin
0day用友U8 Cloud doradosmartweb 任意文件读取漏洞( 未公开)影响资产9000+
最新发布
weixin_43167326的博客
06-27 1117
用友U8是用友公司针对成长型企业推出的一款全面企业管理软件。该软件承载了用友人十余年来为成长型企业的信息化管理所倾注的心血,它见证了成长型企业信息化从简单管理到精细管理、从部门级应用到企业级应用到供应链级应用的发展历程。用友U8以“实时会计+智能财务+精准税务”为核心,提供会计核算、财务管理、税务管理和金融服务的一体化解决方案,满足企业对信息化、智能化及专业化的全面管理诉求。
Dorabox的xss存储型漏洞报错,无法写入文件
Leloz的博客
08-14 991
该存储型漏洞是将输入的内容存储到stored_xss.php的,所以需要写入的权限,默认是没有开的。切换到stored_xss.php所在目录,然后执行该指令。
dorado7 启动异常
lxllxs的博客
11-05 935
严重: Exception sending context initialized event to listener instance of class com.bstek.dorado.web.servlet.SpringContextLoaderListener 没有显示其他Causeby 信息 jdk1.8版本引起,删除server并重建, 改回用jdk1.7版本,删除冲突的Hiber
dorado7数据库准备工作出现的错误
雪糕的博客
07-30 1323
异常提示 Error creating bean with name ‘dorado.jdbc.dataInterceptor’ defined in class path resource [com/bstek/dorado/jdbc/context-defaultRule.xml]: Cannot resolve reference to bean ‘transactionManager’ w
dorado7离线文文档.7z
09-09
这份离线文档是 Dorado 开发者的重要参考资料,无论是在项目初始化阶段寻找灵感,还是在遇到具体问题时查找解决方案,都能提供极大的帮助。对于那些希望深入理解 Dorado7.5 框架的开发者来说,它是不可或缺的学习...
dorado7项目环境-jar包
08-08
这个项目环境的"jar包"集合是解决Dorado7开发过程版本依赖问题的关键,特别是对于那些初次接触该框架的人来说。 首先,Dorado7的核心在于其提供了一套完整的UI组件库和数据绑定机制,使得开发者能够构建出交互...
dorado7-ide-0.7.2.zip
07-30
总结来说,“dorado7-ide-0.7.2.zip”压缩包Dorado7 IDE是一个专门为Dorado7开发定制的工具,它通过强大的集成特性,优化了前端开发流程,提升了开发体验。无论你是初识Dorado7的新手,还是经验丰富的开发者,这...
dorado5最新版本
11-01
dorado5最新版本dorado5最新版本
dorado7.x form提交数据报错
chlx2008的专栏
10-19 451
java.lang.ClassCastException: com.bstek.dorado.data.variant.Record cannot be cast to ***实体类 解决办法: 不要用updateAction 改用ajaxAction,controller类采用@Expose标记。
dorado7(二) 错误目录
一个努力飞行的菜鸟
11-22 1458
//以下解决方法,只是个人意见,不保证一定可行 1、debug jet运行报错: Could not instantiate listener com.bstek.dorado.web.servlet.SpringContextLoaderListener java.lang.ClassNotFoundException: com.bstek.dorado.web.servlet.Spring
Dorado7使用常见问题,不定时持续更新。
qq_48435967的博客
08-08 401
最开始接触dorado7最容易碰到的是版本依赖问题,由于前端技术过于老旧为了保证兼容性,推荐一下环境。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 799
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
dorado7.x 点击按钮无反应,F12不报错
chlx2008的专栏
07-14 257
dorado7.x 点击按钮无反应,F12不报错。 问题定位: 最终原因是因为onlick事件的js代码删除之后,有多余的空格。 虽然没有代码,但是影响了后边的执行。 ...
dorado7.x datatype onset失效问题
chlx2008的专栏
09-11 178
dorado7.x datatype onset失效问题 不同子页面相同名称的 datatype onset会失效,没有错误提示
dorado7.x 查询报错argument type mismatch
chlx2008的专栏
11-02 432
报错截图: 出错原因 formcondition对应的datatype Condition和creationType对应的实体字段对应不上。或者ds对应的datatype类型default和collection选择不对。 解决办法: 此处可以删除 Condition和creationType对应的实体。不影响后台通过parameter获取formcondition的参数。或...
Dorado7学习DVD Alpha5版:快速入门与常见问题解答
- 对于关于Dorado7的任何疑问,用户可以在DVD提供的章节找到常见问题解答,如果还有未覆盖的问题,可以通过官方渠道进行咨询。 Dorado7学习DVD alpha5版是一个综合性的学习工具,不仅包含基础安装和配置,还包括了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值