0

我有一个带有以下代码片段的 jsp 文件:

<form action=<%= request.getContextPath() %>/query_flight? ...

在使用codesecue进行静态代码检查时,我收到了 XSS 攻击警告: 在此处输入图像描述

但我很困惑,因为context.getContextPath它是一个 Java EE 标准 API。是否可以进行 XSS 攻击?

有什么建议吗?

4

1 回答 1

2

工具不对。也就是说,我将使用<c:url>JSTL 标记来生成 URL。如果需要跟踪会话,它将处理上下文路径和 URL 重写。

于 2012-07-24T08:38:44.050 回答