防止在Tomcat / Struts 1 Web应用程序上进行XSS尝试(无源代码)

时间:2009-09-04 20:13:53

标签: java tomcat struts xss

第三方Web应用程序存在跨脚本安全问题。有一个页面有三个未清理的字段。供应商不会提供及时的解决方案,我需要。

应用程序在Tomcat中运行并使用Struts 1.坏页面的操作如下所示:

<action
  path="/badpage"
  type="com.badvendor.BadAction"
  name="badForm"
  scope="request"
  validate="true"
  input="/otherbadpage.do">
  <forward name="failure" path="/otherbadpage.do"/>
  <forward name="success" path="/otherbadpage.do"/>
</action>

我没有动作类的源代码。

在请求和清理输入的操作之间获取最简单的方法是什么(甚至只是在输入错误时导致错误)?

1 个答案:

答案 0 :(得分:2)

你可以:

  1. 将映射更改为指向其他操作(您的)。在消毒输入后将控制权转发给有问题的行动。
  2. 编写servlet过滤器以拦截该特定URI。
相关问题
最新问题