Question

При использовании межсайтового скриптинга - XSS в приложении J2EE Struts 2.0.9. Когда я помещаю тег <Script> в URL, он выполняет JavaScript, который представляет угрозу безопасности. Есть ли решение для преодоления этой проблемы, кроме перехода на более высокую версию Struts.

BalusC · Answer 1 · 03 декабря 2009

Просто экранируйте управляемый пользователем ввод во внешнем интерфейсе.

В JSP / JSTL вы должны использовать c:out

<c:out value="${input}" />

для управляемого пользователем ввода вместо простого EL

${input}

В Struts эквивалент c:out равен html:text

<html:text value="${input}" />

В исходном коде Java вам не нужно беспокоиться об этом. Он не интерпретирует JS за String с (если, конечно, вы не используете Rhino или около того;)).

Tony · Answer 2 · 03 декабря 2009

Создайте постоянный массив строк и проверьте этот массив на правильное имя переменной при запросе / вызове URL.

Пример:

      http://localhost:8080/updaterecord.do?**name**="david"

      http://localhost:8080/updaterecord.do?**ssn**="10-787-78787-77"

name и ssn push to string array и проверка параметра URL по этому массиву.

Проблема безопасности XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Проблема безопасности XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы