以下代码位于我的JSP页面中,导致输入标签存在跨站脚本漏洞。
这里的问题是什么,应该如何解决?
我在阅读一些关于XSS的在线参考资料时,仍然不确定可能存在的问题。
非常感谢任何帮助。
谢谢, Deena
<form name="acctFrm" method="post" action="<%=contextPath%>/form/acctSummary?rpt_nm=FIMM_ACCT_SUMM_RPT">
<table>
<tr>
<td>Account Id:</td>
<td>
<input class="tbl1" type="text" id="acctId" name="acctId" size="20" maxlength="10" value="<%=rptBean.getAcctId()%>"/>
<a href="javascript:doAcctSubmit()"><img class="tbl1" src="<%=contextPath%>/img/Submit.gif" border="0" /></a>
</td>
</tr>
</table>
</form>
在渗透测试中,他们通过在标签的值属性中注入警报脚本,向用户发送了一条随机消息。
<input class="tbl1" type="text" id="acctId" name="acctId" size="20" maxlength="10" value="1"><script>alert(12345)</script>" />
这里的问题是什么,应该如何解决?
我在阅读一些关于XSS的在线参考资料时,仍然不确定可能存在的问题。
非常感谢任何帮助。
谢谢, Deena