我写了一个非常简单的JSP来测试sonarqube。它包含以下行:
var controlForm = $('.controls .d1:first'),
正如以下链接所述,sonarqube应该识别这两个漏洞 - >使用JSP表达式和动态包含。但我从sonarqube那里得到的这个JSP文件中没有任何错误。
https://sonarqube.com/coding_rules#rule_key=Web%3AJspScriptletCheck
https://sonarqube.com/coding_rules#rule_key=Web%3ADynamicJspIncludeCheck
我使用sonarqube-6.0和sonar-scanner-2.7。另外,我在sonar-project.properties中添加了以下行: sonar.web.file.suffixes = html的,.xhtml,的.rhtml,的.shtml,.JSP
答案 0 :(得分:0)
您应该小心,因为您所谈论的两条规则是SonarQube Web插件(http://docs.sonarqube.org/display/PLUG/Web+Plugin)的一部分,该插件不属于默认的SonarQube发行版。您需要显式安装此插件并激活这两个规则以获得预期的问题。