6

将 HTML 模板传递给 Coldfusion。模板的 head 标签具有附加属性:

<head profile="http://abc.com">

问题在于,当基于此模板生成输出时,Coldfusion 会将其脚本注入到 head 标签内:

<head <script type="text/javascript" src="/CFIDE/scripts/cfform.js"></script>
<script type="text/javascript" src="/CFIDE/scripts/masks.js"></script>
profile="http://abc.com">

这会导致profile="http://abc.com">出现在页面顶部并阻止页面验证。

代码注入仅在有表单标签时发生。如果 head 标签没有任何属性,则不会发生错误位置注入。该属性的存在是项目要求,不能省略。

是否可以防止 Coldfusion 注入脚本?

4

2 回答 2

6

脚本注入仅适用于 cfforms,而不适用于标准表单。如果您没有使用 cfform 的任何增强功能,您可以简单地切换到标准表单。

我检查了累积的修补程序列表,但没有看到解决此问题的方法。

于 2009-09-25T14:02:41.720 回答
2

我的解决方案:将元标记放在后面

<html>
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<head>

当 CF 创建页面时,它会将标签放在标签下方但上方

<!DOCTYPE html>
<html class=" ext-strict">
<head>
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<script type="text/javascript">/* <![CDATA[ */_cf_loadingtexthtml="<img alt=' ' src='/CFIDE/scripts/ajax/resources/cf/images/loading.gif'/>";
_cf_contextpath="";
_cf_ajaxscriptsrc="/CFIDE/scripts/ajax";
_cf_jsonprefix='//';
_cf_clientid='9851DA49BD375D9722A9D6B1951976AC';/* ]]> */</script><<script type="text/javascript" src="/CFIDE/scripts/ajax/yui/yahoo-dom-event/yahoo-dom-event.js"></script>
于 2014-10-16T15:17:37.147 回答