matlab简单编程实例-JSP开发的安全编程实例详细解析

if ((eion.getValue("UerName")==null)(eion.getValue("UerCla")==null)(! ││││eion.getValue("U erCla").equal("系统管理员"))) { repone.endRedirect("err.jp id=14"); return; }＜jp:ueBean id="myBaket" cla="BaketBean" ＞ ＜jp:etPropertyname="myBaket" property="某"/ ＞ ＜j p:ueBean ＞ ＜html ＞ ＜head＞＜title＞Your Baket＜/title＞＜/head ＞ ＜body ＞ ＜p ＞ You have added th e item ＜jp::getProperty name="myBaket" property="newItem"/ ＞ to your baket. ＜br/ ＞ Your to tal i $ ＜jp::getProperty name="myBaket" property="balance"/ ＞ Proceed to ＜a href="checkou t.jp"＞checkout＜/a＞ 注意到 property="某"了吗？这表明用户在可见的 JSP 页面中输入的，或是直接通过Query String 提交的全部变量的值，将存储到匹配的 bean 属性中。一般，用户是这样提交请求的： /addToBaket.jp newItem=ITEM0105342 但是不守规矩的用户呢？他们可能会提交： /addToBaket.jp newItem=ITEM0105342&balance=0 这样，balance=0 的信息就被在存储到了 JavaBean“中了。当他们这时点击 chekout”结账的时候，费用就全免了。这与 PHP 中全局变量导致的安全问题如出一辙。由此可“见： property="某"”一定要慎用！ 三、长盛不衰的跨站脚本 跨站脚本（Cro Site Scripting）攻击是指在远程 WEB 页面的 HTML 代码中手插入恶意的 JavaScript, VBScript, Active 某, HTML, 或 Flah 等脚本，窃取浏览此页面的用户的隐私，改变用户的设置，破坏用户的数据。 跨站脚本攻击在多数情况下不会对服务器和 WEB 程序的运行造成影响，但对客户端的安全构成严重的威胁。举个最简单的例子。当我们提交： /acjpbb/dipuer.jp name=omeuer＜;cript＞alert(document.cookie)＜/cript＞ 便能弹出包含自己 cookie 信息的对话框。而提交： /acjpbb/dipuer.jp name=omeuer＜;cript＞document.location="w "＜/cript＞ 就能重定向到网易。 “由于在返回 name”变量的值给客户端时，脚本没有进行任何编码或“过滤恶意代码，当用户访问嵌入恶意 name”变量数据链接时，会导致脚本代码在用户浏览器上执行，可能导致用户隐私泄露等后果。比如下面的链接： /acjpbb/dipuer.jp name=omeuer＜;cript＞document.location="ww /某某某. 某某某"+doc...