HTML 模板将传递到 Coldfusion。模板的 head 标签有附加属性:
<head profile="http://abc.com">
问题是,当基于此模板生成输出时,Coldfusion 会将其脚本注入 head 标签内:
<head <script type="text/javascript" src="/CFIDE/scripts/cfform.js"></script>
<script type="text/javascript" src="/CFIDE/scripts/masks.js"></script>
profile="http://abc.com">
这导致profile="http://abc.com">
显示在页面顶部并阻止页面验证。
仅当存在表单标签时才会发生代码注入。如果 head 标签没有任何属性,则不会发生错位注入。该属性的存在是项目要求,不能省略。
是否可以阻止 Coldfusion 注入脚本?
脚本注入仅发生在 cfforms 中,而不是标准表单中。如果您没有使用 cfform 的任何增强功能,则只需切换到标准表单即可。
我检查了累积修补程序列表,但没有看到对此的修复。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)