第 3 方 Web 应用程序存在跨脚本安全问题。一页包含三个未清理的字段。供应商不会及时提供修复,而我需要。
该应用程序在 Tomcat 中运行并使用 Struts 1。错误页面的操作如下所示:
<action
path="/badpage"
type="com.badvendor.BadAction"
name="badForm"
scope="request"
validate="true"
input="/otherbadpage.do">
<forward name="failure" path="/otherbadpage.do"/>
<forward name="success" path="/otherbadpage.do"/>
</action>
我没有 Action 类的源代码。
在请求和清理输入(甚至只是在错误输入时导致错误)的操作之间取得联系的最简单方法是什么?
最佳答案
您可以:
- 更改映射以指向不同的操作(您的)。对输入进行清理后,将控制转发给相关操作。
- 编写一个 servlet 过滤器来拦截特定的 URI。
关于java - 防止对 Tomcat/Struts 1 Web 应用程序的 XSS 尝试(无源代码),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1381335/