如何在 Struts 1.2 中验证对 JSP 页面的请求/响应?
简短场景: Action 类的响应在发送到 jsp 的过程中被捕获并进行了调整。如何验证该响应是否已被触及? (这都是 VAPT 的一部分,所以如果听起来不合逻辑,请原谅)
最佳答案
response from the action class is captured on the way to jsp and is tweaked
您是说 Java 和 JSP 没有运行相同的容器,甚至没有运行相同的 JVM,因此它们通过网络传输,您担心在那里被拦截?
或者您的意思是您的服务器堆栈中的某种过滤器类正在故意更改响应,并且您想验证您自己的转换?
或者你的意思是你担心服务器和客户端之间的拦截,你所说的 JSP 实际上是发送给客户端(浏览器)?
一般来说,检测篡改的方法是使用散列——这就是为什么当你下载一个开源项目时,你会经常看到它旁边有一个散列下载。我不知道在正常的浏览器上下文中有任何现成的解决方案。也许在单独的选项卡/框架中有一些 javascript,它检查在单独的请求中传递的哈希值?
但最终,如果您担心中间人攻击,请通过 https 发出请求。甚至可以使用相互证书(服务器向浏览器发送证书,浏览器向服务器发送证书,作为相互身份验证。)
关于java - 如何在 Struts 1.2 中验证对 JSP 页面的请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12389200/