我被分配开发网络应用程序,考虑使用Struts框架,因为它似乎是标准且易于实施。
然而,在做出决定之前,我需要了解Struts中可用的安全功能。
Are there effective ways to handle the OWASP Top 10 using Struts? And if so, how would I accomplish it?
我被分配开发网络应用程序,考虑使用Struts框架,因为它似乎是标准且易于实施。
然而,在做出决定之前,我需要了解Struts中可用的安全功能。
Are there effective ways to handle the OWASP Top 10 using Struts? And if so, how would I accomplish it?
Struts是为您提供MVC框架的,它具有有限的安全功能,例如您可以将角色映射到操作。我建议您寻找更完整的东西,比如Spring Security(以前是Acegi)。
处理Struts中OWASP十大漏洞最好的方法是查看OWASP企业安全API...
即使对于YC提到的功能,您可能不想直接使用Struts配置文件来设置您的操作的ACL。最好编程地检查在HttpRequest中得到的状态,然后才到达您的Struts操作(即此HttpRequest是否来自经过身份验证和授权的用户给出的URL)。或者,您可以通过ServletFilter拦截请求,但必须小心确保它是线程安全的。