IBM Security Appscan漏洞--通过框架钓鱼

可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
可能原因 ：
未对用户输入正确执行危险字符清理
技术描述 ：
网络钓鱼是一种社会工程技巧，其中攻击者伪装成受害者可能会与其进行业务往来的合法实体，以便提示用户透露某些机密信息（往往是认证凭证），而攻击者以后可以利用这些信息。网络钓鱼在本质上是一种信息收集形式，或者说是对信息的“渔猎”。
攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎，就有可能浏览该标记，却意识不到自己会离开原始站点而进入恶意的站点。之后，攻击者便可以诱导用户再次登录，然后获取其登录凭证。
由于伪造的站点嵌入在原始站点中，这样攻击者的网络钓鱼企图就披上了更容易让人轻信的外衣。

解决办法：
对特殊字符进行处理，从前台-》后台-》前台，对数据进行处理。添加XSS过滤器，对所有从前台进入的参数进行过滤。
XSS过滤器：
http://blog.csdn.net/super_man_x/article/details/50905546
类似漏洞：

• 链接注入（便于跨站请求伪造） ：http://blog.csdn.net/super_man_x/article/details/50905153
• 通过框架钓鱼 ：http://blog.csdn.net/super_man_x/article/details/50905169
• 存储的跨站点脚本编制：http://blog.csdn.net/super_man_x/article/details/50905085

我是一个小菜鸟，大家如有更简单高效的方法，欢迎在评论中指出，一起分享。谢谢