Следующий фрагмент кода в моем JSP вызвал уязвимость межсайтового сценария для входного тега.
<form name="acctFrm" method="post" action="<%=contextPath%>/form/acctSummary?rpt_nm=FIMM_ACCT_SUMM_RPT">
<table>
<tr>
<td>Account Id:</td>
<td>
<input class="tbl1" type="text" id="acctId" name="acctId" size="20" maxlength="10" value="<%=rptBean.getAcctId()%>"/>
<a href="javascript:doAcctSubmit()"><img class="tbl1" src="<%=contextPath%>/img/Submit.gif" border="0" /></a>
</td>
</tr>
</table>
</form>
Во время тестирования на проникновение они смогли предупредить пользователя о каком-то случайном сообщении, внедрив сценарий оповещения в атрибут value тега, как показано ниже.
<input class="tbl1" type="text" id="acctId" name="acctId" size="20" maxlength="10" value="1"><script>alert(12345)</script>" />
В чем проблема и что можно исправить.
Я читал несколько онлайн-ссылок по XSS, но не был на 100% уверен, в чем может быть проблема.
Любая помощь будет принята с благодарностью.
Спасибо, Дина