我的任务是开发一个Web应用程序,并考虑使用Struts框架,因为它似乎是一个标准并且易于实现。
但是,在做出决定之前,我需要了解Struts中可用的安全功能。
有没有有效的方法来使用Struts处理OWASP Top 10? 如果是这样,我将如何完成它?
答案 0 :(得分:1)
Struts为您提供MVC框架,它具有有限的安全功能,例如:您可以将角色映射到操作。我会建议你研究一下比Spring Security(以前的Acegi)更全面的东西。
答案 1 :(得分:0)
在struts中处理OWASP前十名的最佳方法是查看OWASP Enterprise Security API ...
答案 2 :(得分:0)
即使对于YC提到的功能,您可能也不希望使用开箱即用的Struts配置文件来为您的操作设置ACL。在它到达你的Struts动作之前,以HttpRequest从ActionServlet中出来的状态进行编程检查可能会更好(也就是说,这个HttpRequest是来自经过身份验证和授权的用户给定的URL吗?)。或者,您可以使用ServletFilter拦截请求,但您必须小心确保它的线程安全。