Struts2で＜s:url＞を使う際のXSS混入 - ろば電子が詰まつてゐる

テクノロジーカテゴリーの変更を依頼記事元:

ozuma.hatenablog.jp

10 usersがブックマークコメント

コメント

1

記事へのコメント1件

注目コメント
新着コメント

todesking 出力時にエスケープしろ

2013/12/02 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

Struts2で＜s:url＞を使う際のXSS混入 - ろば電子が詰まつてゐる

最近なにかと狙われがちの、Apache Struts 2。「.action」を通して任意のコードが実行できるという脆弱... 最近なにかと狙われがちの、Apache Struts 2。「.action」を通して任意のコードが実行できるという脆弱性はさんざんあちこちで書かれたので、ここでは、システム開発時のちょっとした注意点の小ネタをひとつ書いておこうと思います。によるXSS struts2のタグは、不用意に使うとXSS(クロスサイトスクリプティング)を招き入れてしまう危険性を備えています。具体的には、struts.xmlのnamespaceの指定を""のように空文字にしている場合に、任意のJavaScriptを混入できる可能性があります。以下、この事例を、実際に手を動かして確認できるように作ってみます。 Tomcatの準備まずTomcatをインストールします。この手順を1からここで書くのはさすがに長すぎるので割愛します。以前にちこっと書いたのでそちらを参照してください(http://homepage1.ni

ブックマークしたユーザー

nilfigo2013/12/02
msakamoto-sf2013/12/02
Naruhodius2013/12/02
todesking2013/12/02
quodius2013/12/02
hasegawayosuke2013/12/02
ockeghem2013/12/01

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx