如何在所有 .jsp 文件中搜索某些标签和属性?

【问题标题】:How do I search through all .jsp files for certain tags and attributes?如何在所有 .jsp 文件中搜索某些标签和属性?
【发布时间】:2011-03-31 22:05:36
【问题描述】:

我们在我们的网站上发现了一个 XSS 问题。我现在的工作是检查所有源代码,找出可能出现的其他地方。

我将搜索限制在特定的 JSF 问题上。但无论我想搜索什么,该解决方案都应该有效。

基本上我想要一个 JSF 文件列表。我需要获取具有此条件的列表:搜索所有具有 <h:outputText 标记并在该标记中具有“转义”属性和包含“{”

的“值”属性的所有 *.jsp 文件

我还没有在工作中使用静态源代码分析器。

关于如何进行此类搜索的任何想法?

我的大部分搜索都涉及使用 TextPad 的正则表达式搜索。但我希望关于如何解决这个问题可能会有一些更好的想法。

【问题讨论】:

    标签: xml jsp search jsf


    【解决方案1】:

    *.jsp 中搜索escape="false"。这应该足够了。要修复 XSS 漏洞,您应该确保它不输出用户控制的输入,然后删除 escape="false" 属性。如果此用户控制的输入打算按字面意思重新显示为 HTML,那么您希望首先从邮件标签中清除它。另见this answer

    【讨论】:

    • 我同意你关于 XSS 的所有观点。我需要对您建议的 XSS 进行更改。问题是 escape="false" 是不够的,因为我们到处使用它来在屏幕上放置静态文本,例如添加“

      ”或“”。我正在尝试限制要研究的内容。
    • 那么,这是一个老式的 JSF 1.0/1.1 Web 应用程序吗?由于 JSF 1.2 已经发布了 5 年多,您可以将静态 HTML 放在 JSF 标记中,而无需摆弄h:outputTextf:verbatim
    • 很抱歉,我们使用的是老式 JSF 1.1。
    猜你喜欢
    • 2010-10-14
    • 1970-01-01
    • 2016-06-02
    • 1970-01-01
    • 2013-05-23
    • 1970-01-01
    • 1970-01-01
    • 2012-02-14
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode