我的任务是开发一个Web应用程序,并考虑使用Struts框架,因为它似乎是一个标准并且易于实现。

但是,在做出决定之前,我需要了解Struts中可用的安全功能。

是否有有效的方法可以使用Struts处理 OWASP Top 10 ? 如果是这样,我将如何完成它?

有帮助吗?

解决方案

Struts为您提供MVC框架,它具有有限的安全功能,例如:您可以将角色映射到操作。我建议你研究一下像 Spring Security 这样的更成熟的东西(以前的Acegi)。

其他提示

在struts中处理OWASP前十名的最佳方法是查看OWASP Enterprise Security API ...

即使对于YC提到的功能,您可能也不希望使用开箱即用的Struts配置文件来为您的操作设置ACL。在它到达你的Struts动作之前,以HttpRequest从ActionServlet中出来的状态进行编程检查可能会更好(也就是说,这个HttpRequest是来自经过身份验证和授权的用户给定的URL吗?)。或者,您可以使用ServletFilter拦截请求,但您必须小心确保它的线程安全。

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top