Security Struts2（Java EE）项目中的安全问题_Security_Jakarta Ee_Struts2_Struts

Security Struts2（Java EE）项目中的安全问题

security jakarta-ee struts2

Security Struts2（Java EE）项目中的安全问题,security,jakarta-ee,struts2,struts,Security,Jakarta Ee,Struts2,Struts,我正在使用Struts-2框架用java创建一个web门户。Java EE web门户中可能存在哪些漏洞，以及如何防止我的门户受到这些漏洞的攻击。相关链接将不胜感激。首先，请熟悉十大web攻击：然后定期检查框架的已发布漏洞：在某些情况下，有一些工具可以自动完成部分工作。主要有两个方面：使您的struts框架保持最新。总是检查。这是必须的，当您使用框架时，框架中的安全漏洞意味着应用程序中的安全漏洞如中所述，开发您自己的安全站点以下是一些提示：如果在JSP中使用 ${} /代码>，请

我正在使用Struts-2框架用java创建一个web门户。Java EE web门户中可能存在哪些漏洞，以及如何防止我的门户受到这些漏洞的攻击。相关链接将不胜感激。

首先，请熟悉十大web攻击：

然后定期检查框架的已发布漏洞：

在某些情况下，有一些工具可以自动完成部分工作。

主要有两个方面：

使您的struts框架保持最新。总是检查。这是必须的，当您使用框架时，框架中的安全漏洞意味着应用程序中的安全漏洞

如中所述，开发您自己的安全站点

以下是一些提示：

如果在JSP中使用<代码> ${} /代码>，请考虑它们不是XSS安全的，您可以让它们像所提到的那样安全。您可以使用xss安全的

s:property

如果使用模型驱动，则认为模型驱动的拦截器是盲的！<李>

考虑到您可以通过在web.xml和server.xml中使用正确的参数设置应用程序，而不是使用struts来处理它们，从而避免一些安全问题，例如：


真的
真的
曲奇

您可以将spring security与struts一起使用。spring security可以处理一些问题

会话固定

和

csrf

，而无需编写任何代码

CSRF、XSS与任何其他框架一样。确保使用最新版本，并在新版本发布时快速升级（由于安全问题）。还要注意，J2EE是Java1.4；由于Java 1.5是Java EE，您能告诉我哪些工具可以实现自动化吗？您可以从web漏洞扫描器开始，例如，它可以集成到您的构建过程中。

    <session-config>
           <cookie-config>
            <http-only>true</http-only>
            <secure>true</secure>
        </cookie-config>
        <!--This will prevent jsession url re-writing -->
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>