-2
私は数日間、ajax呼び出しから戻ってくる脆弱なJavaスクリプト変数を修正する方法を見つけています。XSS - Ajax呼び出しの戻り文字列がjspのJavaスクリプト変数に割り当てられます
public String getDefaultCopyName(HttpServletRequest request, HttpServletResponse response,
Long serviceGroupId) {
MeoOptimizationSet set = service.find(serviceGroupId);
String name = set.getName() + getCopySuffix();
return name;
´}
var defaultName = '';
$.ajax({
url: "<c:url value='/MeoOptimizationSet-getDefaultCopyName.mvc'/>",
data: { serviceGroupId: selectedIds[0] },
success: function(data) {<b> defaultName = data</b>},
async: false
});
APP.confirm({
msg: "<br>"+label + "<br><br><input type='text' id='newName' size='40'
value='" + <b> defaultName </br> + "' />",
ok: function() {
//TODO
});
}
}
まず、質問の書式設定を行います。 – BRjava
'async:false'は非難されています。とにかくそれが必要な理由がわかりません。リクエスト中にブラウザのUIをロックするだけで、ユーザーエクスペリエンスが悪くなります。削除することができます。これはあなたの問題に関連するものではなく、単なる一般的な点です。 – ADyson
あなたの例も明確ではありません。 'success:function(data){defaultName = data}'は有効なjavascriptではないので、構文エラーが発生します。あなたの例を修正して、問題が何であるかを説明し、ajax呼び出しから何が返されているのかを説明し、「脆弱である」と考えられるのはなぜですか? – ADyson