bean에서 filter = "true"조합을 통해 struts 1.2에서 XSS 공격을 방지 할 수있었습니다 : 메시지 작성 및 태그에서 StringEscapeUtils.escapeHtml4 (string) 사용 libs 내가 사용하고 있습니다. 그러나 다음 양식의 URL 공격을 통해 사이트를 공격 할 수 있습니다 ...Struts XSS 방지 - GET XSS 방지
www.mysite.com/App/Start.do?logo=mylogo'><script>alert("ATTACK")</script>
이 문제를 방지하는 가장 좋은 방법에 대한 조언. 서블릿 필터를 사용해 보았지만 모든 요청 입력을 특수 문자로 변환하고 싶지 않습니다.
응답 주셔서 감사합니다. 사용자가 위 URL을 치지 못하도록 URL에 대해 구체적으로 말하고 있습니다. 또는 모든 GET 요청을 차단하고이를 정리하십시오. –
URL에 XSS가 포함되어 있으면 URL이 HTML로 구문 분석되지 않습니다. 따라서 사이트에 영향을 미치지 않습니다. 이것은 순수한 미학적 문제입니까? – Robadob
URL에 자바 스크립트를 삽입 할 수 있는데, 일단 URL에 도달하면 실행됩니다. –