我不能提供很多代码信息...
我正在与Struts合作。
我们遇到的问题是,任何人都可以编写,例如:
https://oururi.com{...}something.do/reqCode=><script>alert('XSS')</script>
经过数小时的搜索,我仍然不知道如何验证 reqCode 。这不是一个“正常”参数...解决方案是使该参数的输入为字母数字,但我不知道如何。
在代码中(不是我的,我在维护人员中),在struts-config.xml中有一些类似这样的语句:
<action path="/printsomething" name="actionForm" scope="request" parameter="reqCode" validate="true">
<forward name="error" path="pages.licen.print" />
<forward name="preview" path="pages.licen.print" />
<forward name="success" path="pages.licen.success" />
</action>
有人可以帮助我吗?