通常,在完成编码后,我总是使用veracode检查安全漏洞(主要是XSS)。在我的JSP中大多数时候,如果我有一个代码:<%=bean.getValues()%>它被标记为XSS易受攻击。要解决它,我主要使用<c:out>等JSTL标记。
现在考虑这个场景,我有一个JSP,我正在加载<iframe>。那里有如上所示的同一段代码。 Veracode不知道这个jsp是在<iframe>中显示的,因此会因为XSS易受攻击而抛出这段代码。但是,如果这样的代码片段在<iframe>中,那么通过跨站点脚本来破解它是不是很难,因为<iframe>难以入侵?
我只是有点困惑。任何帮助将在这里表示赞赏。