XSS安全问题
在 J2EE struts 2.0.9 应用程序中使用跨站点脚本 - XSS 时。当我将
When using Cross Site Scripting - XSS in a J2EE struts 2.0.9 application . When I put <Script> tag in the URL it is executing the JavaScript which is a security threat. Is there any solution to overcome this problem apart from moviing to higher version of Struts.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
创建常量字符串数组,并在请求/调用 URL 时检查该数组的变量名称是否正确。
示例:
name 和 ssn 推送到字符串数组,并根据该数组验证 URL 参数。
Make constant string array, and check this array for the right variable name when u request/call URL.
Example :
The name and ssn push to string array, and validate URL parameter against this array.
只需在前端转义用户控制的输入即可。
在 JSP/JSTL 中,您应该使用
c:out用于用户控制的输入,而不是普通的 EL
Struts 等价于
c:out的是html:text在Java源代码中你不需要担心这个。它不会解释
String中的 JS(当然,除非您使用 Rhino 等;))。Just escape user-controlled input in the front end.
In JSP/JSTL you should use
c:outfor user-controlled input instead of plain EL
The Struts equivalent of
c:outishtml:textIn Java source code you don't need to worry about this. It doesn't interpret JS in
Strings (unless you're using Rhino or so for that of course ;) ).