我的任务是开发一个 Web 应用程序,并且正在考虑使用 Struts 框架,因为它似乎是一个标准并且易于实现。
但是,在做出决定之前,我需要了解 Struts 中可用的安全特性。
是否有使用 Struts处理OWASP Top 10的有效方法?如果是这样,我将如何完成它?
dmanxiii
问问题
2305 次
3 回答
1
Struts 为您提供了一个 MVC 框架,它具有有限的安全功能,例如您可以将角色映射到操作。我会建议您研究更成熟的东西,例如Spring Security(以前称为 Acegi)。
于 2008-11-20T01:29:10.310 回答
0
处理 OWASP Top 10 in struts 的最佳方法是查看 OWASP Enterprise Security API...
于 2009-05-17T00:23:27.710 回答
0
即使对于 YC 提到的特性,您也可能不想使用开箱即用的 Struts 配置文件来为您的操作设置 ACL。在 HttpRequest 离开 ActionServlet 时,在它到达您的 Struts 操作之前,以编程方式检查状态可能会更好(即,这个 HttpRequest 是否来自给定 URL 的经过身份验证和授权的用户?)。或者,您可以使用 ServletFilter 拦截请求,但您必须小心确保它是线程安全的。
于 2009-05-17T00:33:21.027 回答