通常,在我完成编码后,我总是使用veracode检查安全漏洞(主要是 XSS) 。大多数情况下,在我的 JSP 中,如果我有这样的代码:<%=bean.getValues()%>它被标记为 XSS 易受攻击。为了解决它,我主要使用 JSTL 标签,如<c:out>.
现在考虑这种情况,我有一个 JSP,我正在加载一个<iframe>. 与上面显示的代码相同。Veracode 不知道该 jsp 显示在<iframe>其中,因此会将这段代码作为 XSS 漏洞抛出。<iframe>但是,如果这样的一段代码在一个<iframe>.
我只是有点困惑。任何帮助将不胜感激。