y*z
发帖数: 2555 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: yaz (柏林低温武警), 信区: sysop
标 题: 谁给简单科普一下上面那些东西
发信站: BBS 未名空间站 (Wed Jun 13 01:41:05 2007), 站内
我是电脑盲 | w********r
发帖数: 4193 | 2 都是些javascript的trick,有些代码搞得系统因为运行这些code而进入死循环,有的无
限弹出对话框,等等...
俺还没细看,现在得睡了.
俺先把转过来,等会儿贩子来了让他给详细讲一下.
反正这个网页编的比较毛糙,很多细节都没有考虑.
不过没钱的事谁肯干.
现在3k整天花天酒地,估计已经不会编程了.
小微在公司肯定不敢用这种态度干活.
大家就凑活着用吧.
【在 y*z 的大作中提到】
: 【 以下文字转载自 sysop 讨论区 】
: 发信人: yaz (柏林低温武警), 信区: sysop
: 标 题: 谁给简单科普一下上面那些东西
: 发信站: BBS 未名空间站 (Wed Jun 13 01:41:05 2007), 站内
: 我是电脑盲
| y*z
发帖数: 2555 | 3 赞
【在 w********r 的大作中提到】
: 都是些javascript的trick,有些代码搞得系统因为运行这些code而进入死循环,有的无
: 限弹出对话框,等等...
: 俺还没细看,现在得睡了.
: 俺先把转过来,等会儿贩子来了让他给详细讲一下.
: 反正这个网页编的比较毛糙,很多细节都没有考虑.
: 不过没钱的事谁肯干.
: 现在3k整天花天酒地,估计已经不会编程了.
: 小微在公司肯定不敢用这种态度干活.
: 大家就凑活着用吧.
| w********r
发帖数: 4193 | 4 看了一下,bug在于小微没有在title里处理那些特殊符号(主要是"<"和">"),这样带有这
些符号的字符窜就可能带有JavaScript代码的functionality了,然后大家就可以在里面
嵌入恶意代码.
其实只要用HTML里的Code and Entity把特殊符号转化成Code或Entity就可以使这些代
码只能纯粹用来显示而失去可执行的functionality了.
【在 y*z 的大作中提到】
: 赞
|
|
