struts2已經整合了jsp標準的 jstl標籤用法,比如:
action裡面定義的變數private int selleruin;,除了標籤外,還可以使用如下jstl來輸出到頁面上:
$但是,在2.0.9這個版本的struts2中, 傳引數selleruin=abc,只要不是通過去獲取selleruin的值,這個引數就不會被正常的校驗引數型別!也就是說,使用$ 一樣會在頁面上返回abc,而不會丟擲引數型別錯誤。
於是在後台被定義為int,long型別的引數,肯定不會做xss校驗。而一旦被人識破並利用${} jstl標籤輸出,就會對返回頁面進行xss注入。
經過測試,這個問題在2.0.14版本已經得到修復。
早期struts2中使用JSTL標籤的bug
struts2已經整合了jsp標準的 jstl標籤用法,比如 action裡面定義的變數private int selleruin 除了標籤外,還可以使用如下jstl來輸出到頁面上 struts2會自動對http請求引數做型別轉換。請求引數selleruin 123會正常處理,而請求引數seller...
myeclipse中使用struts2的配置
好了,說今天更新就今天更新,絕不拖拉,hhh.好吧,其實我也是弄了蠻久才知道 struts2 到底有什麼用,感覺之前的一些東西用來做開發足矣,並且也沒有什麼不合理的地方,找了很久的資料才又回憶起一點點,上課的東西兩天沒看就差不多都還給老師了,做的筆記也看不懂了,說正事。struts2 到底用起來有什...
在Struts2中使用SiteMesh外掛程式
最近在讀 struts2權威指南 李剛著 這本書寫得非常好,對我學習struts2幫助很大。在學習這本書的過程中,我自己做了些筆記和例子,下面是關於在struts2中如何使用sitemesh外掛程式 通過使用sitemesh外掛程式,就可以在struts2應用中使用sitemesh裝飾器頁面來統一應...