代码改变世界

[hyddd的Fortify SCA分析Java代码记录][Structural]System Information Leak:HTML Comment in JSP

2009-02-24 14:38  hyddd  阅读(1671)  评论(0编辑  收藏

  这也是一个关于信息泄露的问题,报这个问题的原因是:你的某个.JSP/网页文件里面有HTML注释,这样做有一个很大的风险是:你可能把一些内部的信息泄露给用户。

  Fortify这样建议是很有道理的,HTML注释肯定是为了说明一些问题,或者记录了一些东西,很多网站渗透的人都会从这些小地方去获取网站信息,记得以前看过一段网站入侵的视频,入侵者就是通过网页文件里面的注释找了数据库的账号密码。

  虽然你的HTML注释记录的可能是一些不相关的信息,你认为无所谓,但是作为一个良好的习惯,你不应该在网页文件里添加HTML注释。