Я смог предотвратить атаку XSS в struts 1.2 с помощью комбинации filter = "true" в bean-компоненте: писать сообщения и с помощью StringEscapeUtils.escapeHtml4 (string) в теге libs, который я использую. Однако я могу атаковать мой сайт с помощью атаки по URL-адресу в следующей форме:Struts XSS Prevention - Предотвращение GET XSS
www.mysite.com/App/Start.do?logo=mylogo'><script>alert("ATTACK")</script>
Любые советы по наилучшему способу предотвращения этого. Я попытался использовать фильтр сервлета, но я не хочу преобразовывать все запросы в специальные символы.
Спасибо за ответ, я говорю конкретно о URL-адресе, хотя, чтобы пользователь не ударил вышеуказанный URL-адрес. ИЛИ перехватывать все запросы GET и очищать их –
Почему имеет значение, если URL-адрес содержит XSS, URL-адрес не обрабатывается как HTML. Таким образом, это не повлияет на ваш сайт. Это чисто эстетическая проблема? – Robadob
Я могу вставить javascript в URL-адрес, который будет выполняться после нажатия URL-адреса. –