XSS跨站攻击

jsp代码：

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<%
	String name = request.getParameter("name");
%>
Welcome <%=name %><br>
</body>
</html>

在IE6上测试：

参数变为：

yang<script>alert('attacked')</script>

测试结果：

如果换成IE8，则会出现：

XSS跨站攻击被IE8阻止掉了。

修改IE的安全级别设置：

“启用XSS筛选器”改为“禁用”，这样XSS攻击就能成功了：

刚开始是在360安全浏览器上测试，一直没成功。我一开始怀疑是不是tomcat的问题。后来才发现是浏览器的问题，看来360浏览器还是相对比较安全的。