Модераторы: LSD, AntonSaburov
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Struts & XSS 
V
    Опции темы
pointer82
Дата 15.11.2010, 15:58 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 4
Регистрация: 19.2.2007

Репутация: нет
Всего: нет
Здравствуйте!
Каким образом можно защитить веб-приложение на struts от XSS?
Для java веб-приложений в целом я вижу вариант - повесить filter, примерно как описанный тут: Simple Cross Site Scripting (XSS) Servlet Filter
Но для struts это не поможет, так как в web.xml уже есть струтсовый StrutsPrepareAndExecuteFilter фильтр.
PM MAIL ICQ   Вверх
jk1
Дата 16.11.2010, 10:45 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Участник
Сообщений: 1168
Регистрация: 17.10.2008
Где: Санкт-Петербург

Репутация: 5
Всего: 75
А что мешает воткнуть его перед StrutsPrepareAndExecuteFilter?
Код

<filter>
     <filter-name>struts2</filter-name>
     <filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
</filter>
<filter>  
    <filter-name>XSS</filter-name>  
    <display-name>XSS</display-name>    
    <filter-class>com.greatwebguy.filter.CrossScriptingFilter</filter-class>  
</filter>  
<!--Порядок маппингов отражает порядок применения фильтров при обработке запроса-->
<filter-mapping>  
    <filter-name>XSS</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>
<filter-mapping>
     <filter-name>struts2</filter-name>
     <url-pattern>/*</url-pattern>
</filter-mapping>


Это сообщение отредактировал(а) jk1 - 16.11.2010, 10:46


--------------------
Opinions are like assholes — everybody has one
PM MAIL   Вверх
pointer82
Дата 23.11.2010, 15:32 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 4
Регистрация: 19.2.2007

Репутация: нет
Всего: нет
Может кому пригодится. В струтсовых тэгах проблем с выдачей данных полей с имеющимся скриптом нет. там всё экранируется. проблема была с передачей информации JSON, так как на html-страницу в браузер ее возвращал ajax. Фильтр не помог, но вопрос удалось решить написанием своего result для JSON, в котором нежелательные символы режутся.
PM MAIL ICQ   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Java"
LSD   AntonSaburov
powerOn   tux
  • Прежде, чем задать вопрос, прочтите это!
  • Книги по Java собираются здесь.
  • Документация и ресурсы по Java находятся здесь.
  • Используйте теги [code=java][/code] для подсветки кода. Используйтe чекбокс "транслит", если у Вас нет русских шрифтов.
  • Помечайте свой вопрос как решённый, если на него получен ответ. Ссылка "Пометить как решённый" находится над первым постом.
  • Действия модераторов можно обсудить здесь.
  • FAQ раздела лежит здесь.

Если Вам помогли, и атмосфера форума Вам понравилась, то заходите к нам чаще! С уважением, LSD, AntonSaburov, powerOn, tux.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Java EE (J2EE) и Spring | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0765 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.