主题 : 版主早上好 麻烦您了
级别: 贡士
UID: 57979
积分:702 加为好友
威望: 0 精华: 0
主题:49 回复:245
注册时间:2014-02-18
在线时长:0
1#   发表于:2014-02-26 09:52:02  IP:60.215.*.*
显示全部 只看该作者
<filter>
<filter-name>XssFilter</filter-name>
<filter-class>com.jeecms.common.web.XssFilter</filter-class>
     <init-param>
<param-name>SplitChar</param-name>
<param-value>@</param-value>
     </init-param>
     <init-param>
<param-name>FilterChar</param-name>
<param-value>'@"@\@#@:@%@></param-value>
     </init-param>
<init-param>
<param-name>ReplaceChar</param-name>
<param-value>\'@\"@\@#@:@\\%@></param-value>
     </init-param>
</filter>
请问不用<转换全角吗  这样好像是够了因为解析跨站脚本的时候会出现错误
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
2#   发表于:2014-02-26 09:55:06  IP:59.141.*.*
显示全部 只看该作者
你那是转什么?
功成由勤,业精于勤。
使用道具
   顶端
级别: 贡士
UID: 57979
积分:702 加为好友
威望: 0 精华: 0
主题:49 回复:245
注册时间:2014-02-18
在线时长:0
3#   发表于:2014-02-26 09:58:10  IP:60.215.*.*
显示全部 只看该作者
跨站的原理就是js脚本的解析

您这里只把>转换了 理论上是可以的因为解析到>就出错了
您感觉用不用吧< 也转换了呢
使用道具
   顶端
级别: 贡士
UID: 57979
积分:702 加为好友
威望: 0 精华: 0
主题:49 回复:245
注册时间:2014-02-18
在线时长:0
4#   发表于:2014-02-26 09:58:43  IP:60.215.*.*
显示全部 只看该作者
就是昨天您说的一样 理论上是安全的 可是有的客户发现return url就需要改

使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
5#   发表于:2014-02-26 09:58:59  IP:59.141.*.*
显示全部 只看该作者
肯定要的,<filter-name>XssFilter</filter-name> 
转换了
功成由勤,业精于勤。
使用道具
   顶端
级别: 贡士
UID: 57979
积分:702 加为好友
威望: 0 精华: 0
主题:49 回复:245
注册时间:2014-02-18
在线时长:0
6#   发表于:2014-02-26 09:59:59  IP:60.215.*.*
显示全部 只看该作者
<param-value>'@"@\@#@:@%@></param-value> 
     </init-param> 
<init-param> 
<param-name>ReplaceChar</param-name> 
<param-value>\'@\"@\@#@:@\\%@></param-value> 

你们只处理了
' "" # : % >
没有处理<
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
7#   发表于:2014-02-26 10:00:59  IP:59.141.*.*
显示全部 只看该作者
源码请自己去研究,已经处理过了,论坛只提供安装与使用方面的技术支持
功成由勤,业精于勤。
使用道具
   顶端
级别: 贡士
UID: 57979
积分:702 加为好友
威望: 0 精华: 0
主题:49 回复:245
注册时间:2014-02-18
在线时长:0
8#   发表于:2014-02-26 10:03:00  IP:60.215.*.*
显示全部 只看该作者
你们的源代码的确没处理<啊
使用道具
   顶端
级别: 状元
UID: 33380
积分:50625 加为好友
威望: 21 精华: 3
主题:88 回复:30687
注册时间:2012-05-07
在线时长:0
9#   发表于:2014-02-26 10:13:19  IP:59.141.*.*
显示全部 只看该作者
源码已经处理里,具体就是filter-name>XssFilter</filter-name> 
<filter-class>com.jeecms.common.web.XssFilter</filter-class> 
功成由勤,业精于勤。
使用道具
   顶端
级别: 秀才
UID: 54188
积分:64 加为好友
威望: 1 精华: 0
主题:2 回复:45
注册时间:2013-11-05
在线时长:0
10#   发表于:2014-03-19 14:38:25  IP:101.243.*.*
显示全部 只看该作者
@&lt;@&amp;@/
@>@<@&@/
使用道具
   顶端
1 2 > >| 共2页