\u003cscript>

CRLF 的原理是通过在 URL 传入参数\r 或者\n,强制更改 header 信息，使得跳转或者控制页面元素进行恶意攻击。
这并非是一个常见的漏洞，利用困难，无需担心。
修复办法的是三步：升级应用服务器、过滤 utf-8,utf-7 的这两个编码，不要将 get 传输的参数在 cookie 里保存。
关于安全方面的情况您都可以和我沟通。
参考：http://blog.csdn.net/wizardforcel/article/details/65437683

吃西瓜看视频的时候

服务端过滤 sendText.put 里的内容，客户端转义 a.message（）内的内容。
xss 方面参考资料：https://bbs.ichunqiu.com/thread-18129-1-1.html
http://www.freebuf.com/column/142323.html

不是我干的，hacpai 是个好社区，我是个好人，热心解决安全问题。

阿里云的安全服务做得很好，开通云盾和安骑士服务后可以进行相对有效的安全防护。

注意不要信息安全违规，在公司写的代码属于雇主信息资产，应当遵守法律法规不得托管至第三方或者保存至个人介质。此外测试和生产数据要分开，避免在互联网泄露集成、生产环境配置信息。

规避或者恢复业务环境后，还需要及时修复当前部署的程序或主机的安全漏洞，更换相关的口令。

五子棋聊天处内容过滤不严谨，存在 xss 安全问题

大都是凭借渗透测试的经验，fuzzing 验证后证实漏洞。工具方面可以使用 awvs、nessus 等辅助进行安全测试和站点评估，结合白盒审计也是个好办法。 欢迎大家采购我的安全服务。

社区回帖记录用户 UA 信息，但未对此输入项进行严格的过滤，存在 XSS 安全隐患，
解决办法：

1. 添加非法字符过滤器，过滤非法输入。
2. 对非法标签进行转换，如使用 Apache 的 commons-lang.jar 或者自己编写转义转换类。

搜索功能存在一处反射型 xss

很好的文章，目前正在做相关的培训材料，开发人员确实不懂会有哪些安全问题。

😄 首先在登录时，post 比 get 相对已经安全（不会通过日志、屏幕泄漏），如果提交过程中未加密则在向服务器传输时仍存在泄漏风险。所以解决的办法一种是启用 https、一种是对表单内容加密(http://www.360doc.com/content/14/0731/15/14106735_398371610.shtml http://www.360doc.com/content/14/0731/15/14106735_398371610.shtml。

�]{c)