是否有可能使一个XSS在这种情况下
问题描述:
我有下面的代码片段JSP文件:是否有可能使一个XSS在这种情况下
<form action=<%= request.getContextPath() %>/query_flight? ...
当使用codesecue做静态代码检查,我得到了一个XSS攻击的警告:
但我很困惑,因为context.getContextPath是Java EE标准API。是否有可能进行XSS攻击?
有什么建议吗?
答
该工具是错误的。也就是说,我会使用<c:url> JSTL标签来生成URL。它将处理上下文路径,并在必要时重新进行URL重写以跟踪会话。