2
我相當有信心,我知道這個答案,但我正努力尋找任何具體的信息。我知道,客戶端向http服務器提交請求,可選地提供reqeust參數。服務器具有通過對象在請求屬性中存儲信息的附加功能。我的問題是,客戶端是否有權訪問http請求對象中的屬性?我們有很多寫得不好的代碼看起來是這樣的:客戶端代碼可以訪問或設置http請求屬性嗎?
if (request.getAttribute("name") != null)
name = request.getAttribute("name);
else if (request.getParameter("name") != null)
name = request.getParameter("name");
我想這是因爲原來的開發商並沒有完全理解客戶端的HTTP請求如何提交數據到服務器。無論如何,我目前正致力於實施請求數據的額外調整和編碼以防止XSS漏洞,並想知道客戶端是否有可能破壞/破解/利用請求屬性(假設它們沒有被填充來自客戶端的數據)?
優秀,感謝確認(和鏈接) – 2013-04-25 10:08:36