纠正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞

改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞

　　XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

　　没想到我的博客评论系统中存在XSS漏洞，现在已经修正。

　 　有位聪明的网友发现在发表评论“名称”中填写脚本可以被执行，比如他填写了 <script>alert(1);</script> 和 <script>while(1);</script>。这个代码直接导致浏览器报告网页脚本繁忙的警告信息。这位网友来 自：119.145.0.157 来自 广东省深圳市 电信，使用的浏览器：Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11。

 

　 　www.vktone.com博客系统使用了FreeMarker作为静态化引擎，在输出名称时没有添加?html对<>进行转义，因此造 成了这个问题。解决办法：将${comment.name}改为 ${comment.name?html}。因为正文部分前面已经进行了转义，${comment.content?html} 所以不能被利用。

　　最后来看一下这位童鞋都进行了哪些尝试：

　　这位童鞋还在服务器上进行了其他不光彩的行为，试图连接该服务器上的CVS服务。这不是你应当干的，童鞋！

 

本文来自：http://www.vktone.com/articles/xss-error-in-vktone-blog.html