我有一个struts 1.2应用程序,其中包含多个不同的应用程序,每个应用程序都有自己的配置文件。我遇到的问题归结为XSS攻击。每个应用程序设置如下...
http://www.myapp.com/app/app1/welcome.action
http://www.myapp.com/app/app2/welcome.action
http://www.myapp.com/app/app3/welcome.action
app1,app2和app3是文件夹。我遇到的问题是用户可以执行以下操作......
http://www.myapp.com/app/app1<img src=a onerror=alert("alert")>/welcome.action
在网站上造成XSS攻击。问题是因为“app1”是一个文件夹,我不能使用servlet过滤器来防止恶意代码。任何人的建议吗?
答案 0 :(得分:0)
创建一个Servlet过滤器并将其映射到URL模式/*
作为链中的第一个过滤器。然后,所有请求都将通过此过滤器进行路由。在filter.doFilter()
处理特殊字符,如“&lt;”。更好地了解OWASP ESAPI(java)项目来处理这些事情:http://code.google.com/p/owasp-esapi-java/