檢查配置界面 XSS注入
1 首先發現session id 不是http only的 (一般java框架都會自動加, 比如shiro)
給goahead 加上
將 http.c 文件的 websGetSession 函數 的
websSetCookie(wp, WEBS_SESSION, wp->session->id, "/", NULL, 0, 0);
改爲:
websSetCookie(wp, WEBS_SESSION, wp->session->id, "/", NULL, 0, WEBS_COOKIE_HTTP);
2 使用angularJS, 都是強類型, 只有名稱和描述字段是字符串
輸入 "/><script>alert(document.cookie)</script> 測試
保存, 文件也保存成功, json沒有問題, 但是XML有問題, 沒有對輸入的進行轉碼處理
所以:
2.1 json轉xml字符串的地方, 字符串類型encodeURI
2.2 xml轉json, 字符串類型decodeURI
如果全用json, 太爽了, 不用考慮XSS