6

HTML テンプレートが Coldfusion に渡されます。テンプレートの head タグには追加の属性があります。

<head profile="http://abc.com">

問題は、このテンプレートに基づいて出力を生成するときに、Coldfusion がそのスクリプトを head タグ内に挿入することです。

<head <script type="text/javascript" src="/CFIDE/scripts/cfform.js"></script>
<script type="text/javascript" src="/CFIDE/scripts/masks.js"></script>
profile="http://abc.com">

これによりprofile="http://abc.com">、ページの上部に表示され、ページが検証されなくなります。

コード インジェクションは、フォーム タグがある場合にのみ発生します。head タグに属性がない場合、間違った場所への挿入は発生しません。属性の存在はプロジェクトの要件であり、省略できません。

Coldfusion がスクリプトを挿入するのを防ぐことは可能ですか?

4

2 に答える 2

6

スクリプト インジェクションは、標準フォームではなく、cfforms に対してのみ発生します。cfform の拡張機能を使用していない場合は、単純に標準フォームに切り替えることができます。

累積的なホットフィックス リストを確認しましたが、これに対する修正はありませんでした。

于 2009-09-25T14:02:41.720 に答える
2

私の解決策:メタタグを

<html>
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<head>

CF がページを作成するとき、タグをタグの下に配置しますが、タグの上に配置します

<!DOCTYPE html>
<html class=" ext-strict">
<head>
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<script type="text/javascript">/* <![CDATA[ */_cf_loadingtexthtml="<img alt=' ' src='/CFIDE/scripts/ajax/resources/cf/images/loading.gif'/>";
_cf_contextpath="";
_cf_ajaxscriptsrc="/CFIDE/scripts/ajax";
_cf_jsonprefix='//';
_cf_clientid='9851DA49BD375D9722A9D6B1951976AC';/* ]]> */</script><<script type="text/javascript" src="/CFIDE/scripts/ajax/yui/yahoo-dom-event/yahoo-dom-event.js"></script>
于 2014-10-16T15:17:37.147 に答える