0
我有下面的代碼片段JSP文件:是否有可能使一個XSS在這種情況下
<form action=<%= request.getContextPath() %>/query_flight? ...
當使用codesecue做靜態代碼檢查,我得到了一個XSS攻擊的警告: 
但我很困惑,因爲context.getContextPath是Java EE標準API。是否有可能進行XSS攻擊?
有什麼建議嗎?
A
回答
2
該工具是錯誤的。也就是說,我會使用<c:url> JSTL標籤來生成URL。它將處理上下文路徑,並在必要時重新進行URL重寫以跟蹤會話。
相關問題
- 1. 是在這種情況下
- 2. 是否有可能以樂觀併發確保這種情況?
- 3. 在這種情況下可能有一個可爲空的外鍵嗎?
- 4. Crystal Reports在這種情況下是否可行?
- 5. 在這種情況下反規格化是否可接受?
- 6. 在這種情況下是否可以通過PowerShell創建一個數組?
- 7. 這可能是appdomains在這種情況下會有所幫助嗎?
- 8. 我怎麼能在這種情況下
- 9. 在這種情況下,Amazon S3是否有所幫助?
- 10. 在這種情況下,桌上的索引是否有利?
- 11. 在這種情況下是否有中央DB服務器?
- 12. 可能在這種情況下使用事件委託?
- 13. 在這種情況下
- 14. 在這種情況下使用異常處理是否好?
- 15. 在這種情況下使用System.Exception是否合適?
- 16. 在這種情況下是否使用時間序列DB?
- 17. JavaScript - 是否可以在不使用OR的情況下在一種情況下檢查多個工作日?
- 18. 是否可以在這種情況下使用array_map而不是foreach?
- 19. 什麼是在這種情況下
- 20. 什麼是在這種情況下
- 21. cin是在這種情況下使用的正確功能嗎?
- 22. 在這種情況下可以使用javascript而不是java嗎?
- 23. 在這種情況下返回參考是否是一種很好的風格?
- 24. CDN是或否在這種情況下是
- 25. 在這種情況下使用Bridge?
- 26. 在哪種情況下建議使用ActiveResource?而在這種情況下呢?
- 27. 在這種情況下哪個更好:性能還是可靠性?
- 28. 在這種情況下使用分區是個好主意嗎?
- 29. 這是否在沒有用戶許可的情況下工作?
- 30. jQuery的這種情況下