XSS注入 sessionId json xml

原創 搅屎棍-王敏 2018-08-25 02:55
檢查配置界面 XSS注入

1 首先發現session id 不是http only的 (一般java框架都會自動加, 比如shiro)
給goahead 加上
將 http.c 文件的 websGetSession 函數 的 
websSetCookie(wp, WEBS_SESSION, wp->session->id, "/", NULL, 0, 0);
改爲:
websSetCookie(wp, WEBS_SESSION, wp->session->id, "/", NULL, 0, WEBS_COOKIE_HTTP);

2 使用angularJS, 都是強類型, 只有名稱和描述字段是字符串
輸入   "/><script>alert(document.cookie)</script>   測試
保存, 文件也保存成功, json沒有問題, 但是XML有問題, 沒有對輸入的進行轉碼處理
所以:
      2.1  json轉xml字符串的地方, 字符串類型encodeURI 
      2.2 xml轉json, 字符串類型decodeURI

如果全用json, 太爽了, 不用考慮XSS 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

C++各大名庫之XML

在C++中,庫的地位是非常高的。C++之父 Bjarne Stroustrup先生多次表示了設計庫來擴充功能要好過設計更多的語法的言論。現實中,C++的庫門類繁多,解決的問題也是極其廣泛,庫從輕量級到重量級的都有。不少都是讓人眼界大開,亦

wz7654321 2020-07-08 06:35:09

轉成Json格式

簡潔的代碼,如下,JS中,: var result=JSON.stringify(JSON.parse(json),null,4); 附鏈接:http://jsfiddle.net/br7yfx2j/

xingyuner2 2020-07-08 12:24:42

PHP和Javascript的JSON交互(處理一個二維數組)(轉)

xmphoenix 2020-07-08 12:00:47

java中Jackson庫的ObjectMapper類

http://www.shsay.com   ObjectMapper類是Jackson庫的主要類。它提供一些功能將轉換成Java對象匹配JSON結構,反之亦然。它使用JsonParser和JsonGenerator的實例實現JSON實際

叼子 2020-07-08 11:49:02

微信小程序02【配置詳解(頁面、窗口、tabBar、網絡超時、debug)】

學習地址:https://www.bilibili.com/video/BV1sx411z77P?p=10 筆記01:https://blog.csdn.net/weixin_44949135/article/details/10718

是您啊,哒哒子前辈! 2020-07-08 10:17:16

java學習php(三)增刪改查+json

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <?php //$q=$_GET["q"]; class product{ private $co

l清水 2020-07-08 07:01:24

XML形式文檔的格式化--主要包括縮進和去空白

核心代碼: package com.ddatsh;    import java.io.IOException; import java.io.StringReader; import java.io.StringWriter

xingyuner2 2020-07-08 12:24:41

將實體類或者集合序列化爲xml(xmlDataDocument)

         /// <summary>        /// 將數據序列化爲Xml        /// </summary>        /// <param name="oType">被序列化的數據類型(實體類類型或者集合類型

zrz009 2020-07-08 11:14:16

dom4j解析.xml文件

xml 是可擴展的標記性語言。xml 的主要作用有: 1、用來保存數據,而且這些數據具有自我描述性 2、它還可以做爲項目或者模塊的配置文件 3、還可以做爲網絡傳輸數據的格式(現在 JSON 爲主)。 CDATA 語法可以告訴 xml 解析

ζMonster° 2020-07-08 10:45:03

C#序列化對象轉爲爲XML格式字符串

實習公司原來的左側菜單是通過js進行ajax請求一個xml文件得到一個xml對象,然後拼接html文件,現在需要從數據庫取數據生成xml,因爲保密關係,太詳細的不能放出來,簡單說下流程 1、C#後臺執行SQL,得到DataTable對象

请叫我算术嘉 2020-07-08 10:17:16

自定義和管理工作項類型 [witadmin]

可以使用以下 witadmin 命令管理團隊項目的工作項類型: destroywitd:銷燬工作項類型和銷燬永不恢復的該類型的每個工作項。 exportwitd:將工作項類型的定義導出到 XML 文件或命令提示符窗口。 i

银月术 2020-07-08 09:14:45

XML----DOM4J

用DOM4J解析XML文檔簡介 vDom4j是一個簡單、靈活的開放源代碼的庫。Dom4j是由早期開發JDOM開發的。與JDOM不同的是,dom4j使用接口和抽象的人分離出來而後獨立基類,雖然Dom4j的API相對要複雜一些,但它提供了

李冰华 2020-07-08 09:14:07

mybatis-初始化(三)statement解析

概述 Statement是我們平時sql的載體,一條sql代表一個Statement,來看下mybatis如何解析Statement。 接着上篇最後的入口 private void buildStatementFromContex

请叫我程序猿大人 2020-07-08 07:54:47

MyEclipse創建一個servlet,繼承自javax.servlet.GenericServlet,輸出hello j2ee!

MyEclipse創建一個servlet,繼承自javax.servlet.GenericServlet來做,在瀏覽器輸出hello j2ee。 1.打開MyEclipse,新建一個Web Project,步驟: 點擊“File”

悦 Smily 2020-07-08 07:53:28

Python學習隨記(持續更新)

在網上找了找了一通,python的教程不少,但個人覺得最符合我的習慣的還是這本書《《dive into python》》,這本書沒有一開始就那幾本書法開刀,而是引用示例做例證,然後一步一的深入,比較符合我的學習習慣!就定下它了   1.

wujieyhy2006 2020-07-08 06:29:39