低危
系统中存在大量JSP页面当中注释采用HTML注释,而不是JSP注释的情况。
此情况下,攻击者在浏览器浏览页面的时候,右键查看页面源代码,可以看到HTML注释内的信息,很多时候甚至是代码块,导致系统信息泄露。
Jsp html 注释区别:
(1)HTML页面注释-----这里面的注释会被编译(加载页面时,会进行语法判断,取需要的变量默认值)
<!-- 这里面的注释在查看页面源代码时,依旧可以看到,另外页面加载时这里面注释的内容仍旧会编译 -->
(2)jsp页面注释------这里之后的注释都不会被编译
<%--JSP中的注释,这里面的内容在查看页面源代码时,看不到这里面注释书写的内容 --%>
所以涉及业务的建议使用<%-- --%>注释,文字描述性的使用<!-- -->注释。