主题 : XSS 问题
级别: 秀才
UID: 372
积分:77 加为好友
威望: 0 精华: 0
主题:6 回复:47
注册时间:2009-08-07
在线时长:0
1#   发表于:2013-11-20 12:08:44  IP:222.83.*.*
显示全部 只看该作者
XSS问题,两处
一:搜索页:
http://demo.jeecms.com/search.jspx?imageField=88888&q=请输入关键词"><script>alert%2842873%29<%2Fscript>
二:后台登陆界
returnUrl 传值。
请官方处理。
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
2#   发表于:2013-11-20 13:28:04  IP:111.206.*.*
显示全部 只看该作者
您反馈的问题已经提交至研发部
功成由勤,业精于勤。
使用道具
   顶端
级别: 总版主
UID: 10736
积分:148515 加为好友
威望: 205 精华: 42
主题:287 回复:126217
注册时间:2010-09-08
在线时长:18.01
3#   发表于:2013-11-20 14:03:01  IP:111.206.*.*
显示全部 只看该作者
http://bbs.jeecms.com/fabu/23135.jhtml   

http://bbs.jeecms.com/fabu/23136.jhtml


returnUrl 是后台配置的,如果手动更改的话那也是事先应该知道的,认为没有什么危险性,鉴于有用户提过这个参数会有些软件认定存在xss,我们还是取消该参数设置
路漫漫其修远兮,吾将上下而求索!
使用道具
   顶端
1 共1页