【发布时间】:2008-11-19 15:51:48
【问题描述】:
我的任务是开发一个 Web 应用程序,我正在考虑使用 Struts 框架,因为它似乎是一个标准并且易于实现。
但是,在做出决定之前,我需要了解 Struts 中可用的安全功能。
有没有使用Struts 处理OWASP Top 10 的有效方法? 如果是这样,我将如何完成它?
【问题讨论】:
标签: java security struts owasp
【发布时间】:2008-11-19 15:51:48
【问题描述】:
Struts 可以为您提供 MVC 框架,它具有有限的安全功能,例如您可以将角色映射到操作。我会建议您研究更成熟的东西,例如 Spring Security(以前称为 Acegi)。
【讨论】:
处理 OWASP Top 10 in struts 的最佳方法是查看 OWASP Enterprise Security API...
【讨论】:
即使对于 YC 提到的功能,您也可能不想使用开箱即用的 Struts 配置文件来为您的操作设置 ACL。在 HttpRequest 离开 ActionServlet 时,在它到达您的 Struts 操作之前以编程方式检查状态可能会更好(即,此 HttpRequest 是否来自给定 URL 的经过身份验证和授权的用户?)。或者,您可以使用 ServletFilter 拦截请求,但您必须小心确保它是线程安全的。
【讨论】: