关于dorado7中xss问题解决.
之前的写法是拿到参数,然后拼成html放到htmlcontainer中.
其实逻辑很简单,接收错误信息,然后页面上显示出来.
这个时候还是发现淘宝检测出xss漏洞.传递的参数?error_code=&error_msg=31'13""42>24<99
var error_code="${request.getParameter('error_code')}";
var error_msg="${request.getParameter('error_msg')}";
var endHtml = "<h3>对不起!充值失败!</h3>";
endHtml = endHtml +"请联系管理员."+"<br/>错误代码:"+error_code+"<br/>错误信息:"+error_msg;
alert("endHtml:"+endHtml);
$("#notice").html(endHtml);
想来想去,dorado直接获取参数都有问题.
或者经过ajaxaction,调用StringEscapeUtils.escapeHtml转换数据
都不理想,
想来想去用最古老的方法.使用jsp来处理.
<div id="notice" class="notice n-error">
<h3>对不起!充值失败!</h3>请联系管理员.<br/>错误代码:<%=StringEscapeUtils.escapeHtml(request.getParameter("error_code"))%><br/>错误信息:<%=request.getParameter("error_msg") %>
</div>
这样做测试的时候 偶然发现dorado貌似做了些处理.
如果error_msg直接传入<script>alert(1);</script> doraodo报错.
修改成
<div id="notice" class="notice n-error">
<h3>对不起!充值失败!</h3>请联系管理员.<br/>错误代码:<%=StringEscapeUtils.escapeHtml(request.getParameter("error_code"))%><br/>错误信息:<%=StringEscapeUtils.escapeHtml(request.getParameter("error_msg")) %>
</div>
就一切ok了.
相关推荐
资源:eclipse-4.3_for_dorado7_ide.zip 之前公司Dorado7开发环境(含插件开箱即用)压缩包珍藏版,支持dorado9开发。
内含Dorado7插件,Eclipse+dorado7插件合集下载地址,百度网盘永久有效地址。
此资源为dorado7前端框架研发工具,适用于国企,银行等老项目后期维护使用
资源中提供了,下载地址和Dorado 7插件安装方法,可以安装在MyEclipse,Eclipse中任意版本,注意选择你IDE内嵌的Eclipse版本
dorado7实战 standard lesson 初级中级 示例代码 Dorado7实战-企业通讯录(初级) Dorado7实战-企业通讯录(中级)
dorado7 上海BSTEK公司 API
dorado 7 前端页面js动态创建控件.
dorado7链接Oracle数据库详细配置
dorado7.zip
本教程适合初次接触Dorado7 的人学习,通过本教程可以初步了解Dorado7 的设计诉求以及实现原理,并借此掌握Dorado7 中的基本概念和基本术语,例如立体数DataPath, DataType, DataProvider,DataResolver 等。...
Dorado7研发文档
dorado7.z01jar
Dorado7IdE、亲测可用 、Dorado7,最近项目上使用到dorado7做前段,发现这个ide真难搞,分享出来供大家下载
在dorado开发中,都需要使用到的jsdoc,该下载就是一份dorado7.5官方离线文档
最开始接触dorado7最容易碰到的是版本依赖问题,由于前端技术过于老旧为了保证兼容性,推荐此jar包。 使用方式为:放在项目中WebContent下WEB-INF的lib中。
Dorado7.x快速入门详解 非常适合新手参考
Dorado7快速入门,可以快速掌握Dorado开发的基本技术。
dorado7插件包 最新2012.01-30
Dorado7学习宝典.doc
很好用的Dorado7控件开发使用介绍,对使用Dorado7开发很有帮助