在播放框架中,Flash cookie 未签名,用户可以对其进行修改。当我使用它将错误消息从一个请求传递到另一个请求并在我的模板中像这样打印时
&{flash.error}
错误消息可能包含邪恶的 html 注入代码。这正是框架教程告诉我的做法,所以这真的是一个安全漏洞还是我只是偏执狂?
问问题
426 次
在播放框架中,Flash cookie 未签名,用户可以对其进行修改。当我使用它将错误消息从一个请求传递到另一个请求并在我的模板中像这样打印时
&{flash.error}
错误消息可能包含邪恶的 html 注入代码。这正是框架教程告诉我的做法,所以这真的是一个安全漏洞还是我只是偏执狂?