それは，「改ざんのためのツールを作る側」と「改ざん内容を作る側」の間で意思疎通を取り切れていないのではないか？ということ．例えば以下のような感じ．

• 改ざんのためのツールを作る側：「もらった内容を埋め込むよ」
• 改ざん内容を作る側：「サーバ上で実行して，改ざん内容を反映する内容を作ったよ」
• 改ざん攻撃を実行する側：「ツールとデータ使って改ざんしたよ！でも思うようなことが起きない！」

あと，不幸にして改ざんされてしまったところの内容を見ても，「手当たり次第片っ端から改ざんできそうなところに改ざん内容を反映している」というようにも見える．
それも，改ざんされるコンテンツがどのようにサーバサイドで処理されるかを念頭に置いていないため，JSPコンテンツも通常のHTMLコンテンツも同じように改ざんした結果，同じような効果を得られない，という状態になっている．
これは，「改ざんツールを作る人＝改ざんデータを作る人＝改ざんを実行する人」だったら，まず発生しないはず．というのも，攻撃対象を定めたら，手段を決めて，どのような内容を埋めるか？もあわせてツールを作り，攻撃を実行するであろうことを連想できるから．

でもこれって，おそらく過渡的なものだろうとも取れるので，油断は出来ないわけだ．