那些遇到过的问题

如何防止Coldfusion将cfform.js注入头部?

Ale*_*lex 5 coldfusion templates code-injection

将HTML模板传递给Coldfusion.模板的head标签具有其他属性:

<head profile="http://abc.com">
Run Code Online (Sandbox Code Playgroud)

问题是,当基于此模板生成输出时,Coldfusion会在head标记内注入其脚本:

<head <script type="text/javascript" src="/CFIDE/scripts/cfform.js"></script>
<script type="text/javascript" src="/CFIDE/scripts/masks.js"></script>
profile="http://abc.com">
Run Code Online (Sandbox Code Playgroud)

这会导致profile="http://abc.com">出现在页面顶部并阻止页面验证.

仅当存在表单标记时才会进行代码注入.如果head标签没有任何属性,则不会发生错误的位置注入.属性的存在是项目要求,不能省略.

是否有可能阻止Coldfusion注入脚本?

Ben*_*oom 5

脚本注入仅适用于cfforms,而不是标准表单.如果您没有使用任何cfform的增强功能,您只需切换到标准表单即可.

我检查了累积修补程序列表,并没有看到修复此问题.

归档时间:

查看次数:

3031 次

最近记录:

10 年,10 月 前
相关归档
防止不必要的C++仿函数对象副本 16
带类的默认模板参数 11
模板类c ++ 7
为什么这个C++显式模板特化代码是非法的? 7
在Django模板中防止整数的NUMBER_GROUP 5
使用基于模板的构造函数构造std :: function 5
使用 MXUnit 的模拟/存根组件 5
为类定义之外的模板类定义operator []()(数组预订) 5
两阶段查找:可以轻松地混合继承和模板 4
传递超过1个表单字段 2
难疑归档
如何在Git中获取当前分支名称? 2321
从C#中的枚举中获取int值 1698
你什么时候使用git rebase而不是git merge? 1461
在Android上旋转活动重启 1341
如何从GET参数中获取值? 1255
六角透明的颜色 1219
在现代Python中声明自定义异常的正确方法? 1176
为什么使用Redux而不是Facebook Flux? 1126
如何初始化静态地图? 1084
iOS 6上的Safari缓存$ .ajax结果吗? 1057