我的JSP中的以下代码片段导致了输入标记上的跨站点脚本攻击漏洞。XSS跨站点脚本 - Jsp <Input>标记
<form name="acctFrm" method="post" action="<%=contextPath%>/form/acctSummary?rpt_nm=FIMM_ACCT_SUMM_RPT">
<table>
<tr>
<td>Account Id:</td>
<td>
<input class="tbl1" type="text" id="acctId" name="acctId" size="20" maxlength="10" value="<%=rptBean.getAcctId()%>"/>
<a href="javascript:doAcctSubmit()"><img class="tbl1" src="<%=contextPath%>/img/Submit.gif" border="0" /></a>
</td>
</tr>
</table>
</form>
在渗透测试过程,他们能够通过在标签的value属性注入警告脚本来警告一些随机的信息给用户,如下所示
<input class="tbl1" type="text" id="acctId" name="acctId" size="20" maxlength="10" value="1"><script>alert(12345)</script>" />
有什么问题就在这里,什么将是修复。
我正在阅读关于XSS的一些在线参考资料,但我还没有100%确定可能是什么问题。
任何帮助将不胜感激。
感谢, 蒂娜