struts无法过滤dwr请求

tracy1421 2016-01-07 10:21:38
dwr转换的js可以在url中然后在页面中直接体现出来例如:http://xxx.xx.xx/dwr/interface/xxxxAction.js,这样会有安全漏洞问题,然后会有http://xxx.xx.xx/dwr/interface/xxxxAction.js/<img%20src=srdplu%20xxxxxxxxx>这样修改指定参数为构造的xss特殊字符,就会有这样的跨站漏洞,请问该如何修复,或者避免,因为这个url不走web那边的filter过滤器,现在网站扫描出现这样的漏洞,请各位大大帮帮忙~
...全文
190 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
Go 旅城通票 2016-01-07
  • 打赏
  • 举报
 回复
xss主要是返回到客户端的参数你直接输出了而未做编码,如果不输出参数到客户端死不会报xss漏洞的,随便传递什么参数
EasyJWeb服务调度和自定义邮件引擎技术的CRM系统实战开发
第三个知识点是自定义邮件引擎,针对于CRM系统来说,大批量的持续发送邮件是一个很重要的功能,但是普通的邮件群发是无法完成的,邮件服务器会对邮件进行过滤和处理,为了能够尽可能的提高邮件发送的准确性,在本...
Spring in Action(第二版 中文高清版).part2
7.4.1 代理Spring Security的过滤器 7.4.2 处理安全上下文 7.4.3 提示用户登录 7.4.4 处理安全例外 7.4.5 强制Web安全性 7.4.6 确保一个安全的通道 7.5 视图层安全 7.5.1 有条件地渲染内容 7.5.2 显示用户...
Spring in Action(第二版 中文高清版).part1
7.4.1 代理Spring Security的过滤器 7.4.2 处理安全上下文 7.4.3 提示用户登录 7.4.4 处理安全例外 7.4.5 强制Web安全性 7.4.6 确保一个安全的通道 7.5 视图层安全 7.5.1 有条件地渲染内容 7.5.2 显示用户...
Spring in Action(第2版)中文版
16.5spring中带有dwr的支持ajax的应用程序 16.5.1直接web远程控制 16.5.2访问spring管理的beandwr 16.6小结 附录a装配spring a.1下载spring a.1.1研究spring发布 a.1.2构建自己的类路径 a.2把spring添加为一...
Spring攻略(第二版 中文高清版).part2
6.2 在你的Servlet和过滤器中使用Spring 214 6.2.1 问题 214 6.2.2 解决方案 215 6.2.3 工作原理 215 6.3 将Spring与Struts 1.x集成 220 6.3.1 问题 220 6.3.2 解决方案 220 6.3.3 工作原理 220 6.4...
Ajax

52,797

社区成员

25,306

社区内容

发帖
与我相关
我的任务
社区描述
Web 开发 Ajax
社区管理员
  • Ajax
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章