Jakarta ee XSS安全问题_Jakarta Ee_Struts_Xss

Jakarta ee XSS安全问题

jakarta-ee

Jakarta ee XSS安全问题,jakarta-ee,struts,xss,Jakarta Ee,Struts,Xss,在J2EE struts 2.0.9应用程序中使用跨站点脚本-XSS时。当我在URL中放置标记时，它正在执行JavaScript，这是一种安全威胁。除了迁移到更高版本的Struts之外，还有什么解决方案可以克服这个问题。创建常量字符串数组，并在请求/调用URL时检查此数组是否有正确的变量名例如： http://localhost:8080/updaterecord.do?**name**="david" http://localhost:8080/updatereco

在J2EE struts 2.0.9应用程序中使用跨站点脚本-XSS时。当我在URL中放置标记时，它正在执行JavaScript，这是一种安全威胁。除了迁移到更高版本的Struts之外，还有什么解决方案可以克服这个问题。

创建常量字符串数组，并在请求/调用URL时检查此数组是否有正确的变量名

例如：

      http://localhost:8080/updaterecord.do?**name**="david"

      http://localhost:8080/updaterecord.do?**ssn**="10-787-78787-77"

名称和ssn推送到字符串数组，并根据该数组验证URL参数。

只需在前端转义用户控制的输入

在JSP/JSTL中，您应该使用

与c:out等价的Struts是

在Java源代码中，您不必担心这一点。它不会解释字符串中的JS，当然，除非您使用Rhino或其他语言

如何使用Struts防止XSS漏洞：

<c:out value="${input}" />

${input}

<html:text value="${input}" />