При использовании скриптов Cross Site - XSS в приложении J2EE struts 2.0.9. Когда я помещаю тег <Script> в URL-адрес, он выполняет JavaScript, который представляет угрозу безопасности. Есть ли решение для решения этой проблемы, помимо перехода на более высокую версию Struts.Проблема безопасности XSS
Сделать постоянный массив строк и проверить этот массив для имени правой переменной, когда u URL запроса/вызова.
Пример:
http://localhost:8080/updaterecord.do?**name**="david"
http://localhost:8080/updaterecord.do?**ssn**="10-787-78787-77"
имя и ПЛА толчок массив строк, и проверка параметра URL против этого массива.
Просто войдите в управляемый пользователем вход в переднем конце.
В JSP/JSTL вы должны использовать c:out
<c:out value="${input}" />
для контролируемых пользователем ввода вместо обычного EL
${input}
Эквивалент распорками c:out является html:text
<html:text value="${input}" />
В Исходный код Java вам не нужно беспокоиться об этом. Он не интерпретирует JS в String (если вы используете Rhino или так для этого, конечно;)).
Как предотвратить уязвимость XSS с помощью Struts: http://stackoverflow.com/questions/825638/how-to-prevent-xss-vulnerability-with-struts – Shoban