我真的不确定如何提出这个问题,但如果它不适合我,我很抱歉。
- 我有一个只接受整数的getter方法。
- 在我的网络表单中,我有一个可以使用firebug操作的隐藏字段
- 当用户攻击字符串时,它似乎会被发送到服务器
- 我在eclipse中遇到各种'错误设置表达式'错误(显然是因为它试图将字符串转换为int)
- 我在firebug中检查,值仍然设置为字符串
- 我检查了响应,字符串肯定已发送到服务器,然后由服务器发回
- 这显然是一个问题,因为有人可能会为某些XSS
敲打一些脚本
- 通过添加可以轻松修复此问题,如果在setter中的值范围上调用,则设置为0。
我真正的问题是......为什么如果编译器不喜欢将字符串转换为int,服务器是否仍然允许它返回?
我期待一个大barf,它告诉我不!
我现在的解决方法纯粹是一种黑客攻击,因为我对此并不了解。对我来说,感觉就像在吸气杆之后,它会到达其他地方吗?
这是Struts2吗?