一个是header插入问题。

另一个是rn问题。

我们来看这样一段代码：

1. test

2. <script>

3. //alert('<%=request.getParameter("username")%>');

4. </script>

大家都能看到，这好像有个漏洞，但是已经被补上了，注释掉了。

那既然注释掉了，就不该有问题了么？

不是的。

再看这个URL

http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx

很无奈吧？

生成了如下代码：

test

<script>

//alert('kxlzx

alert('kxlzx ');

</script>

注释掉的JS，也执行了。

所以，不要把没用的代码，注释掉的JS等，扔到html里。

代码审核是个细活，任何疏漏之处都值得注意。