FindBugs Security JSP 無法識別 jsp 頁面<script>jstl</script>程式碼中的 xss 漏洞問題
問題說明
在對 JSP 頁面進行程式碼掃描的時候,預設使用的是FindBugs Security JSP 規則,這條規則下有rules:Security - Potential XSS in JSP 專門針對 jsp 頁面的 XSS 漏洞進行掃描,例 page_top.jsp:
<%
String taintedInput = (String) request.getAttribute("input");
%>
[...]
<%= taintedInput %>
這型別的編碼,是掃的出來的。但是遇到以下這類程式碼,有很明顯的注入問題,卻是掃不出來的:
page_top.jsp
<script>
window._common_counter_code_ = "${param.channelId}";
window._common_counter_uuid_ = "${param.uuid}";
</script>
有相關經驗的測試同行,清楚這個問題的原因嗎?或是指個思路!多謝了
相關文章
- 解決Spring Boot無法跳轉jsp頁面問題Spring BootJS
- IDEA解決JSP頁面無法使用EL表示式問題IdeaJS
- jsp頁面掛死問題JS
- JSP三(JSTL)JS
- JSP&&EL&&JSTLJS
- 頁面中多個script塊之間方法與變數共享問題變數
- 請說說`<script>`、`<script async>`和`<script defer>`的區別
- JSP註冊頁面JS
- Web應用開發: JSP語法程式設計實踐(一) JSP中的標識WebJS程式設計
- 頁面中多個script塊之間的關係
- Tomcat配置jsp亂碼問題TomcatJS
- jsp頁面通過url向後臺傳值時的中文亂碼問題JS
- jsp基礎-初識jspJS
- jsp頁面判斷檔案上傳型別JS型別
- Dcat Admin::script定義的方法無法使用
- 如何解決無法解析 JSP 中的方法 getParameter()JS
- JSP筆記-頁面重定向JS筆記
- jsp頁面number型別自動轉為String型別JS型別
- jsp頁面傳中文到資料庫亂碼JS資料庫
- IE報錯SCRIPT5011:不能執行已釋放Script的程式碼
- Web 基礎17 JSP之JSTL入門WebJS
- idea 訪問 jsp 404問題IdeaJS
- JSP中無法使用內建物件解決方法JS物件
- SpringMVC中JSP頁面不顯示EL表示式的原因SpringMVCJS
- springboot中靜態頁面無法訪問及return無法重定向問題Spring Boot
- jsp頁面中同時遍歷多個list集合JS
- npm script中&&和&NPM
- jsp+servlet登入註冊頁面JSServlet
- 教你如何寫第一個jsp頁面JS
- 解決idea中無法識別主類的問題Idea
- 【Java面試】JSP常見面試題!JavaJS面試題
- Script
- JSP基本語法JS
- Java Script網頁設計案例Java網頁
- JSp頁面使用El表示式取不到值JS
- JSP(JSTL EL表示式 三個指令 六個動作標籤 九個JSP內建物件)JS物件
- webscoket+jsp實現簡單的多人聊天頁面WebJS
- java servlet 與jsp幾種頁面跳轉的方法JavaServletJS