jeecg3-7-6 xss 嵌入script代码问题

hotlog · 发表于 2018-10-26 10:13:33

我在本地部署的jeecg3-7-6版本，在浏览器地址栏直接输入http://localhost:8080/jeecg376/loginController.do?login%3Cscript%3Ealert(1)%3C/script%3E，会弹出alert提醒，存在xss攻击问题，但是我看官方的demo.jeecg.org就没有这样的错误提醒和alert弹窗出现。

问题出现是火狐浏览器，chrome浏览器不出现弹窗。我本地部署版本将 “sql注入拦截器”部分也解除注释了，还是出现这样的问题，这个该怎么解决呢。

fly1206 · 发表于 2018-10-26 10:27:37

下载最新版本 3.8 运行看看

hotlog · 发表于 2018-10-26 11:15:45

fly1206 发表于 2018-10-26 10:27
下载最新版本 3.8 运行看看

你好，我测试了还是出现这样的问题。
3-8下的错误是org.springframework.web.bind.UnsatisfiedServletRequestParameterException: Parameter conditions "primaryMenu" not met for actual request parameters: login<script>alert(1)</script>={}

hotlog · 发表于 2018-11-1 16:31:00

！完善！
该alert弹窗出现，缘由是输入参数错误，exception出现后会在error.jsp页面中输出错误的详细信息，将url参数中附带的'<script>xxxx</script>'错误信息一并输入到浏览器页面中，浏览器执行js脚本输出弹窗。

[系统权限] jeecg3-7-6 xss 嵌入script代码问题