gpt4 book ai didi

java - 防止对 Tomcat/Struts 1 Web 应用程序的 XSS 尝试(无源代码)

转载 作者:行者123 更新时间:2023-11-28 22:15:15 24 4
gpt4 key购买 nike

第 3 方 Web 应用程序存在跨脚本安全问题。一页包含三个未清理的字段。供应商不会及时提供修复,而我需要。

该应用程序在 Tomcat 中运行并使用 Struts 1。错误页面的操作如下所示:

<action
path="/badpage"
type="com.badvendor.BadAction"
name="badForm"
scope="request"
validate="true"
input="/otherbadpage.do">
<forward name="failure" path="/otherbadpage.do"/>
<forward name="success" path="/otherbadpage.do"/>
</action>

我没有 Action 类的源代码。

在请求和清理输入(甚至只是在错误输入时导致错误)的操作之间取得联系的最简单方法是什么?

最佳答案

您可以:

  1. 更改映射以指向不同的操作(您的)。对输入进行清理后,将控制转发给相关操作。
  2. 编写一个 servlet 过滤器来拦截特定的 URI。

关于java - 防止对 Tomcat/Struts 1 Web 应用程序的 XSS 尝试(无源代码),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1381335/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com