在struts2拦截器中更改请求参数以获得针对xss

时间:2015-12-10 19:32:43

标签: security struts2 xss interceptor

任何人都可以告诉我如何在struts2拦截器中传递操作之前更改请求参数。

我想这样做是为了防范xss攻击。我也希望在拦截器中执行此操作,因此它适用于所有请求,并且无需在每个操作类中使用正确的代码。

基于struts2的web应用程序欢迎的任何其他安全保护想法

1 个答案:

答案 0 :(得分:0)

问题有点广泛,但我相信你想要处理你的请求的网址和任何参数(GET)或你的POST请求。

有关安全准则,您应该检查OWASP:

https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheethttps://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

如果您想针对自己的应用程序特定实现进一步构建这些,那么您需要:

  1. 按照此处的说明配置拦截器: https://struts.apache.org/docs/interceptors.html

    2. 您也可以按照此处所述的每个操作应用拦截器:

    https://struts.apache.org/docs/convention-plugin.html 

    @Interceptors('InterceptorName')
    1. 对输入参数执行任何清理/验证操作。 触发拦截器的一种方法是使用相应的注释标记您的函数。 e.g:
相关问题
最新问题