Javascript 如何解决JSF中AJAX请求的跨端脚本
我一直在努力寻找一种解决方案,用于AJAX请求的跨端脚本编写 这就是流程: 1屏幕上有一个文本框,我们在其中使用RichEditor 2在文本框中,您可以单击“编辑”按钮,该按钮将显示一个新面板 3单击后,新面板将打开,您可以在新面板中编辑并更新文本 4在新面板中有一个“继续”按钮,如果单击它,将更新支持bean中的文本,关闭新面板,并刷新原始面板中的文本区域 当单击continue(继续)时,onComplete(完成)会隐藏新面板或当前面板,并重新启动原始面板。有一个AJAX请求。因此,当我们发送该请求时,我们的安全团队使用Paros工具插入恶意脚本警报“XSS攻击!”在上面。由于这是一个AJAX请求,并且它通过AJAX引擎获得响应,因此我无法确定如何过滤或确保脚本不会在脚本错误时运行 可能,Javascript需要在AJAX响应之后立即运行,但我不确定如何做到这一点。基本上,如果有人使用外部工具将恶意代码放入AJAX请求中,我的目标是避免跨端脚本编写 我们正在使用JSF1.2和RichFaces 以下是原始面板的代码片段: 以下是打开的新面板的代码片段:Javascript 如何解决JSF中AJAX请求的跨端脚本,javascript,ajax,jsf,xss,Javascript,Ajax,Jsf,Xss,我一直在努力寻找一种解决方案,用于AJAX请求的跨端脚本编写 这就是流程: 1屏幕上有一个文本框,我们在其中使用RichEditor 2在文本框中,您可以单击“编辑”按钮,该按钮将显示一个新面板 3单击后,新面板将打开,您可以在新面板中编辑并更新文本 4在新面板中有一个“继续”按钮,如果单击它,将更新支持bean中的文本,关闭新面板,并刷新原始面板中的文本区域 当单击continue(继续)时,onComplete(完成)会隐藏新面板或当前面板,并重新启动原始面板。有一个AJAX请求。因此,当我
可以为文本注入JavaScript值,但这不是安全漏洞。如果我重新加载数据并在客户端执行脚本,我会担心,如果使用得当,JSF不会发生这种情况。或者您正在询问如何清理文本数据?我可以清理它,但如上所述的问题是,可以使用外部工具在AJAX请求中插入Javascript代码。那么我将如何在JSF中解决这个问题呢?同样,这不是问题。你甚至可以在谷歌搜索查询中这样做。当在浏览器中加载数据后执行该段javascript代码时,就会出现该漏洞。如果出现这种情况,那么开始担心,如果没有,那么什么也不做或建立规则来删除服务器端的所有恶意代码。脚本正在浏览器中执行,这就是为什么我要问这个问题。哦,好的。正如我在第一篇评论中所说的,如果您正确使用JSF,就不应该发生这种情况。页面的哪个字段或部分是加载恶意代码的字段或部分?