主题 : jeecms v8.1跨站脚本如何处理
级别: 解元
UID: 114565
积分:331 加为好友
威望: 19 精华: 0
主题:39 回复:156
注册时间:2017-06-27
在线时长:0.3
1#   发表于:2019-09-10 15:26:47  IP:115.137.*.*
近期网站被扫描出来跨站脚本漏洞,漏洞扫描如下:

URL http://10.5.27.167/searchprovince.jspx?q=1  
弱点 参数: q=1, 测试数据: q=1<script>alert(10303)</script>
等级 紧急

URL http://10.5.27.167/search_2.jspx?q=1  
弱点 参数: q=1, 测试数据: q=1</script><script>alert(28867)</script>
等级 紧急

请问该版本能不能直接配置web.xml处理吗?怎样配置?


附现在web.xml配置。好像不起作用。请解答是否配置错了?
<filter>
    <filter-name>XssFilter</filter-name>
    <filter-class>com.jeecms.common.web.XssFilter</filter-class>
    <init-param>
      <param-name>excludeUrls</param-name>
      <param-value>/member@/flow_statistic@/search@/api
      </param-value>
    </init-param>
  </filter>
级别: 论坛管理员
UID: 122721
积分:30041 加为好友
威望: 0 精华: 0
主题:0 回复:25399
注册时间:2018-05-07
在线时长:352.2
2#   发表于:2019-09-10 15:27:21  IP:117.68.*.*
您好   您那边是什么版本的项目?
每天告诉自己一次,“我真的很不错”。
级别: 解元
UID: 114565
积分:331 加为好友
威望: 19 精华: 0
主题:39 回复:156
注册时间:2017-06-27
在线时长:0.3
3#   发表于:2019-09-10 15:29:21  IP:115.137.*.*
V8.1版本,购买的授权版。
级别: 论坛管理员
UID: 122721
积分:30041 加为好友
威望: 0 精华: 0
主题:0 回复:25399
注册时间:2018-05-07
在线时长:352.2
4#   发表于:2019-09-10 15:36:33  IP:117.68.*.*
您那边可以升级下项目升级到v9版本  我们v9版本修复了很多的漏洞
每天告诉自己一次,“我真的很不错”。
级别: 解元
UID: 114565
积分:331 加为好友
威望: 19 精华: 0
主题:39 回复:156
注册时间:2017-06-27
在线时长:0.3
5#   发表于:2019-09-10 15:52:00  IP:115.137.*.*
自己做过二次开发,不升级情况下能不能通过配置实现漏洞过滤?或者单独升级漏洞过滤代码?
级别: 论坛管理员
UID: 122721
积分:30041 加为好友
威望: 0 精华: 0
主题:0 回复:25399
注册时间:2018-05-07
在线时长:352.2
6#   发表于:2019-09-10 15:54:36  IP:117.68.*.*
您好   是这样的   目前我们对老版本的漏洞已经在新版本上进行了修复   所以老版本已经不在维护了
每天告诉自己一次,“我真的很不错”。
1 共1页