这是一个非常简单的攻击。
两个页面如下:
<form action="MyJsp.jsp" method="get">
<input type="text" name="content"/>
<input type="submit" values="submit"/>
</form>
<%
out.print(request.getParameter("content"));
%>
如果攻击者在输入框里面输入以下内容:
<script>alert('Help me ask you sisiter hello...')</script>
那么就有以下结果:
当然,用户还可以输入:
<script>alert(document.cookie)</script>
用户还可以直接在地址栏输入:如下:
不仅可以注入script,还可以直接注入html代码。。。
http://localhost:8080/Test/MyJsp.jsp?content=<script><a href="http://weibo.com/shangaoquangengqing">My Weibo</a></script>
攻击者输入的内容可以改的,大家都明白这是很危险的。
这个在高级的浏览器,比如现在的360急速浏览器是不能通过的,具体原因未深究。
防范方法很多,最简单的就是将代码的一下基本字符替换掉,比如< > " 等。
以后写代码留意一点就行。