`
RednaxelaFX
  • 浏览: 3058410 次
  • 性别: Icon_minigender_1
  • 来自: 海外
社区版块
存档分类
最新评论

JavaEye短信的乐趣

    博客分类:
  • misc
FlashRails脚本HTML 
阅读更多
周四上JE,收到一封站内短信,标题为“您对《急,怎么用java正则去匹配<BUTTON id="name">name</BUTTON>,name是一个参数,再把name替换成一个指定的值》的回答已经被采纳”。照例,读完该短信直接删除,然后我看到的是……

您对《急,怎么用java正则去匹配<BUTTON id="name">name</BUTTON>,name是一个参数,再把name替换成一个指定的值》的回答已经被采纳


看到那按钮心里一惊,想验证一下是我眼花了还是遇到bug了,就给Saito同学发了封PM,于是……

您的短信“<BUTTON id=Saito>Saito-kun</BUTTON>”已经成功发送


想看看链接能不能插进来……

您的短信“<a href="http://g.cn"><img src="http://www.google.cn/intl/zh-CN/images/logo_cn.gif" /></a>”已经成功发送


然后再看看脚本能不能插进来……

您的短信“<script type="text/javascript">alert("Hello JavaEye")</script>”已经成功发送


还有页面跳转orz……

您的短信“<script>location = "http://g.cn/search?q=script+injection"</script>”已经成功发送


跟Saito同学试了好些组合发现确实都没被转义,觉得甚是恐怖。
还好现在这个bug已经修复了,感谢robbin~
大家可以不用自己再去试了,不然像之前Saito同学那样玩得太多在短时间内发很多PM的话会被禁发PM的 =_=||||
  • 大小: 130.7 KB
  • 大小: 130.2 KB
  • 大小: 126.7 KB
  • 大小: 72.7 KB
分享到:
| 碰到jBPM的编码问题了 T T
评论
7 楼 RednaxelaFX 2009-11-22  
Hooopo 写道
http://api.rubyonrails.org/classes/ActionController/Flash.html

naru...看来是这个flash没错~ 谢 ^_^
5 楼 RednaxelaFX 2009-11-22  
Hooopo 写道
RednaxelaFX 写道
QuakeWang 写道
在flash提示消息中没有使用h escape,这个真是防不胜防啊,等rails 3 default escape的功能出来就好了

那块东西是Flash传过去的数据?咦?……
话说我一直没理解为什么JavaEye要在复制代码的功能上用Flash,是因为其它办法不方便跨平台操纵剪切板么?

此flash非彼flash...quakewang说的flash应该是rails里的flash对象吧。。

唔,flash对象…… << Rails持续小白中,暂时没计划脱白
4 楼 Hooopo 2009-11-22  
RednaxelaFX 写道
QuakeWang 写道
在flash提示消息中没有使用h escape,这个真是防不胜防啊,等rails 3 default escape的功能出来就好了

那块东西是Flash传过去的数据?咦?……
话说我一直没理解为什么JavaEye要在复制代码的功能上用Flash,是因为其它办法不方便跨平台操纵剪切板么?

此flash非彼flash...quakewang说的flash应该是rails里的flash对象吧。。
3 楼 coolspeed 2009-11-22  
介系爱回答问题又爱删短信的fx同学意外发现。由fx来赶在黑客之前发现,恩,上天冥冥中有安排 = =
2 楼 RednaxelaFX 2009-11-22  
QuakeWang 写道
在flash提示消息中没有使用h escape,这个真是防不胜防啊,等rails 3 default escape的功能出来就好了

那块东西是Flash传过去的数据?咦?……
话说我一直没理解为什么JavaEye要在复制代码的功能上用Flash,是因为其它办法不方便跨平台操纵剪切板么?
1 楼 QuakeWang 2009-11-22  
在flash提示消息中没有使用h escape,这个真是防不胜防啊,等rails 3 default escape的功能出来就好了
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    javaeye被黑

    javaeye被黑 大家看看

    JavaEye博文JavaEye博文JavaEye博文

    "JavaEye博文" 本资源摘要信息来自JavaEye博文,作者cutesunshineriver,发布于2010年。该博文涵盖了软件开发、编程、项目管理等多方面的知识点。 在本博文中,我们可以看到多个与软件开发相关的知识点,包括: 1...

    javaeye热点阅读

    JavaEye热点阅读是JavaEye论坛推出的2009年2月特辑,旨在为Java学习者和开发者提供最新的知识及行业动态。这份资料包含了多个Java相关的主题,包括但不限于并发编程、开源项目、设计模式、框架应用以及软件开发实践...

    JavaEye+技术架构

    JavaEye+技术架构,讲述java框架的应用

    javaeye的信息提示框代码之js

    javaeye的信息提示框代码之css,application.js

    javaeye网站架构解密

    JavaEye网站架构解密:硬件与软件架构的深度解析 一、JavaEye网站架构的进化历程 JavaEye作为中国早期的IT技术社区之一,其网站架构经历了从简单到复杂、从单机到集群的演变过程。最初,JavaEye仅依靠两台1U服务器...

    JavaEye3.0开发手记

    ### JavaEye3.0开发手记之开发环境搭建详解 #### 一、开发环境搭建概述 随着JavaEye3.0开发计划的启动,本篇文章将详细介绍如何为该项目搭建高效的开发环境。开发过程中不仅需要考虑软件的选择,还需要针对操作...

    JavaEye新闻月刊_-_2009年3月_-_总第13期

    JavaEye新闻月刊2009年3月第13期内容涉及了当时软件开发领域内的一系列重要话题,包括IBM拟收购Sun Microsystems公司的新闻报道、Java社区对此的看法以及各种编程语言、开发工具和技术的新动态。 首先,新闻月刊...

    javaeye论坛小测试答案

    javaeye 论坛小测试 javaeye论坛小测试答案 javaeye论坛测试答案 这下你们就省事了。

    JavaEye Client SourceCode

    JavaEye Client SourceCode是一个开源项目,专为Android平台设计,提供了JavaEYE的客户端实现。这个项目的源代码为我们提供了一个深入了解Android应用开发以及Java编程在移动设备上的实践的宝贵资源。接下来,我们将...

    javaeye代码高亮插件

    JavaEye是一款知名的面向开发者的技术社区,它提供了丰富的代码展示功能,其中包括代码高亮显示。在WordPress等博客平台中,为了使代码段在文章中清晰易读,通常会使用代码高亮插件。JavaEye的代码高亮插件以其简洁...

    javaeye 基于android客户端

    JavaEye是一个基于Android平台的应用程序,它展示了在移动设备上构建功能丰富的软件的可能性。这个小应用旨在为开发者提供灵感和指导,帮助他们更好地理解和实践Android应用开发。让我们深入探讨一下这个应用背后的...

    javaeye 新闻月刊4月

    javaeye 新闻月刊 2010 4月

    李兴华 MLDN 整理笔记 JavaEye

    李兴华 MLDN 整理笔记 JavaEye .doc

    测试JavaEye的PDF生成效果

    标题“测试JavaEye的PDF生成效果”提示我们关注的是一个使用JavaEye库生成PDF文档的实践过程。JavaEye可能是一个用于Java平台的开源库,它提供了将数据转换为PDF格式的功能,这对于创建报告、手册或其他需要打印或...

    javaEye客户端

    JavaEye客户端是一款基于Java开发的开源软件,专为学习和理解客户端编程技术而设计,尤其适合初学者。这个客户端代码库包含了许多与网络通信相关的功能,主要集中在HTTP协议的使用和数据解析上。通过深入研究JavaEye...

    JavaEye的API使用帮助.rar

    JavaEye的API使用帮助是一个针对JavaEye开发框架的详细指南,旨在帮助开发者更好地理解和应用这个框架。这个压缩包包含了三个文件:一个PDF文档,一个TXT文本文件,以及一个URL链接。接下来,我们将深入探讨JavaEye ...

Magicbox
Global site tag (gtag.js) - Google Analytics