代码之家  ›  专栏  ›  技术社区  ›  user2331417

阻止使用url重定向

struts2 java
  •  1
  • user2331417  · 技术社区  · 7 年前

    我有一个用Java Struts 2编写的应用程序。我们检测到一个开放重定向漏洞。

    当网页通过用户控制的输入重定向到另一个域中的另一个URL时,会发生打开重定向。

    例如: 当我们尝试URL时 myapp.abc.com/test.action?redirect:google.com/? ,它重定向到 google.com

    出于安全考虑,我需要防止这种情况发生。它不应该重定向到除我们的域之外的任何其他域。如何防止此类攻击?

    1 回复  |  直到 7 年前
        1
  •  0
  •   Roman C    7 年前

    重定向参数被 S2-016

    如果您仍然使用它,那么应该通过请求手动解析参数。

    也许你需要学习 how Struts2 handles request parameters from the URL

    由于特殊参数由 ActionMapper 。默认实现用于删除易受攻击的参数,然后需要编写自定义动作映射器。

    要将自定义动作映射器与struts一起使用,需要通过 

    constant name="struts.mapper.class" value="restaurants" />
    推荐文章
    junsung kang  ·  Cassandra突然挂起,返回WindowsFileSystemException:“该进程不可访问,因为该文件正被另一个进程使用”
    1 年前
    vaibhav nalamalpu  ·  Intellij 2023.1无法打开(即使在重新安装后)[关闭]
    1 年前
    Katlock  ·  如何在Spring中将Restpage转换为特定的对象类型?
    1 年前
    Edward Khazzoum  ·  为什么在H2数据库中创建表时出现错误4201-214?
    1 年前
    Yellow Blood  ·  If语句在应为[重复]时未返回True
    1 年前
    user21749640  ·  List.contents(A)返回false,但List.contens(B)和B.equals(A)是否返回true?
    1 年前
    MysticSticker  ·  如何在savedPreferences中保存按钮[]文本
    1 年前
    Pektra Mom  ·  如何将数组中的所有字符串替换为特定的特殊字符
    1 年前
    Nitin Kshirsagar  ·  在谷歌云上将java8迁移到java11/17是强制性的吗
    1 年前
    changhoon seong  ·  为什么这个代码没有按照我想的方式输出?(关于班次)
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号