0

我有一个 struts 1.2 应用程序,其中包含多个不同的应用程序,每个应用程序都有自己的配置文件。我遇到的问题归结为 XSS 攻击。每个应用程序设置如下...

http://www.myapp.com/app/app1/welcome.action
http://www.myapp.com/app/app2/welcome.action
http://www.myapp.com/app/app3/welcome.action

其中 app1、app2 和 app3 是文件夹。我遇到的问题是用户可以执行以下操作...

http://www.myapp.com/app/app1<img src=a onerror=alert("alert")>/welcome.action

对网站造成 XSS 攻击。问题是因为“app1”是一个文件夹,我不能使用 servlet 过滤器来防止那里的恶意代码。任何人的任何建议?

4

1 回答 1

0

创建一个 Servlet 过滤器并将其映射到 URL 模式/*作为链中的第一个过滤器。然后所有请求都将通过此过滤器进行路由。在filter.doFilter()句柄特殊字符如“<”。更好地查看 OWASP ESAPI (java) 项目来处理这些事情:http ://code.google.com/p/owasp-esapi-java/

于 2013-08-02T11:34:49.180 回答