如何在所有 .jsp 文件中搜索某些标记和属性？

发布于 2024-10-28 16:01:50 字数 388 浏览 1 评论 0 原文

我们在我们的网站上发现了 XSS 问题。我现在的工作是检查所有源代码，找出可能发生这种情况的地方。

我将搜索限制为特定的 JSF 问题。但无论我想搜索什么，该解决方案都应该有效。

本质上我想要一个 JSF 文件列表。我需要获取具有此条件的列表：搜索具有 标记并在该标记中具有“escape”属性和“value”属性的所有 *.jsp 文件包含“{”

我在工作中还无法访问静态源代码分析器。

关于如何进行此类搜索的任何想法？

我的大多数此类搜索都涉及使用 TextPad 进行正则表达式搜索。但我希望关于如何解决这个问题可能有一些更好的想法。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

天涯离梦残月幽梦 2024-11-04 16:01:51

在 *.jsp 中搜索 escape="false"。这应该足够了。要修复 XSS 漏洞，您应该确保它不会输出用户控制的输入，然后删除 escape="false" 属性。如果此用户控制的输入旨在以 HTML 形式重新显示，那么您需要首先将其从 mailcious 标记中清理掉。另请参阅此答案。