领测软件测试网
软件测试技术门户.@�F1H�n�}*}
)^-j�x8k�e�{�Z�r�~
*W�l;E�I"G-T3y<script>
�q
r3t'a9q var txtList = new Array();
+["o3X�?6u;e�\ <% for ( int i = 0 ; i < textList.size() ; i++) { %>
3`�Y+{�U�b�r�z�v2o(g txtList[<%=i%>] = "<%=textList.get(i)%>"; 软件测试技术门户�}3K9`�m9J�r�j6~9S�S
① 未对可能包含特殊 JavaScript 字符的变量进行处理软件测试技术门户�Z/K
x�f�D9W�v
<% } %>
-k�I"\�u�^�p l�}</script>
�_�I�F1_+]�_!q.U�v
6|�i'L�R�C�W�@
�~�_�@!T,y�k6p'E,N软件测试技术门户�S�G�N�A�g
当客户端调用这个 JSP 页面后,将得到以下的 HTML 输出页面:软件测试技术门户8{�F v Y�^�l!x7r
软件测试技术门户�H/j(b�h�P.w<script>
�y�?8Z�]�y/r�|
} var txtList = new Array();软件测试技术门户*W�`!x�X,Q�k W
txtList[0] = "";alert();j=""; ① 本来是希望接受一个字符串,结果被植入了一段JavaScript代码软件测试技术门户8s�h�^�S�g
</script>软件测试技术门户6g
\�A�^�o�k)P)|�N
软件测试技术门户�e-U�Z W�k8y�f�q
软件测试技术门户�T6[$_
