FindBugs Security JSP 無法識別 jsp 頁面<script>jstl</script>程式碼中的 xss 漏洞問題
問題說明
在對JSP頁面進行程式碼掃描的時候,預設使用的是FindBugs Security JSP 規則,這條規則下有rules:Security - Potential XSS in JSP 專門針對jsp頁面的XSS漏洞進行掃描,例page_top.jsp:
<%
String taintedInput = (String) request.getAttribute("input");
%>
[...]
<%= taintedInput %>
這型別的編碼,是掃的出來的。但是遇到以下這類程式碼,有很明顯的注入問題,卻是掃不出來的:
page_top.jsp
<script>
window._common_counter_code_ = "${param.channelId}";
window._common_counter_uuid_ = "${param.uuid}";
</script>
有相關經驗的測試同行,清楚這個問題的原因嗎?或是指個思路!多謝了
相關文章
- jsp頁面中中文亂碼問題JS
- JSP頁面裡中文的亂碼問題JS
- 解決Spring Boot無法跳轉jsp頁面問題Spring BootJS
- jsp頁面掛死問題JS
- IDEA解決JSP頁面無法使用EL表示式問題IdeaJS
- jsp頁面不能識別bean的屬性JSBean
- JBOSS下的JSP頁面字符集亂碼問題JS
- 頁面中多個script塊之間方法與變數共享問題變數
- 頁面動態加入<script>標籤並執行程式碼行程
- 如何在jsp頁面使用JSTL標籤和fn函式JS函式
- JSP三(JSTL)JS
- 頁面中多個script塊之間的關係
- 自定義jsp中的錯誤頁面JS
- 請說說`<script>`、`<script async>`和`<script defer>`的區別
- jsp中javabean的問題JSJavaBean
- jsp中的奇怪問題JS
- jsp的編碼問題JS
- jsp無法使用bean的問題 等到解決問題為止!!!!JSBean
- JSP註冊頁面JS
- SSH之jsp頁面JS
- JSP&&EL&&JSTLJS
- 我在jsp中遇到的亂碼問題!JS
- admin\index.jsp中的main.jsp無法顯示?IndexJSAI
- 用XMLHTTP Post/Get HTML頁面時的中文亂碼問題之完全Script解決方案 (轉)XMLHTTPHTML
- jsp頁面通過url向後臺傳值時的中文亂碼問題JS
- jsp 的問題JS
- 高手,請教一個JSP頁面查詢顯示的問題JS
- Web應用開發: JSP語法程式設計實踐(一) JSP中的標識WebJS程式設計
- 小議jsp頁面中的下載功能(轉)JS
- JSP問題JS
- script中defer和async的區別
- JSP、Servlet中的相對路徑和絕對路徑 頁面跳轉問題JSServlet
- JSP頁面中嵌入UEditor編輯器方法JS
- 如何在JSP頁面中傳遞類物件JS物件
- jsp頁面判斷檔案上傳型別JS型別
- JSP頁面中新增完一個專案後,重新整理頁面出現的問題JS
- 關於JSP用include插入頁面出現亂碼問題,請教各位高手JS
- jive 問題 如何在jsp頁面實現資料庫資訊的更新??JS資料庫