我正在使用Struts 1.1版本。 Fortify扫描工具报告Form参数中XSS攻击的可能性。 Struts标记是否会默认阻止xss攻击
答案 0 :(得分:1)
Struts 1.X版本来到了EOL。如果您处于初始阶段,则需要切换Struts2。是的Struts 1.1有一些XSS漏洞的可能性。有关详细信息,请查看this site。要防止XSS (Cross-site scripting)至少你需要upgrade到Struts 1.2.8。您可以将Servlet容器配置为使用404 / Not Found错误的自定义错误页面。像这样,
<struts-config>
<action-mappings>
<action path="/unknown" forward="/CustomNotFoundError.jsp"
unknown="true" />
</action-mappings>
</struts-config>
希望这有帮助。