Welche Sicherheitsmerkmale in Struts verfügbar sind?
https://stackoverflow.com/questions/302357
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin beauftragt, mit einer Web-Anwendung zu entwickeln und denk den Struts-Framework verwenden, da es eine Standard zu sein scheint, und ist einfach zu implementieren.
Bevor jedoch eine Entscheidung, ich brauche die Sicherheitsfunktionen in Struts kennen.
Gibt es wirksame Möglichkeiten, die OWASP Top 10 zu handhaben Struts? Und wenn ja, wie würde ich es erreichen?
Lösung
Struts ist es Ihnen eine MVC-Framework zu bieten, und es hat Sicherheitsmerkmale beschränkt, z.B. Sie können Rollen Aktionen zuordnen. Ich werde empfehlen Sie in etwas suchen mehr vollwertigen wie der Spring Security ( früher Acegi).
Andere Tipps
Der beste Weg, um die OWASP Top Ten in Streben zu handhaben ist auf dem OWASP Enterprise Security API aussehen ...
Auch für die Funktionen, die YC erwähnt, werden Sie wahrscheinlich nicht wollen, eine Struts-Konfigurationsdatei aus der Box verwenden, um die ACLs für Ihre Aktionen einzurichten. Es kann besser sein, um programmatisch Zustand in der Httprequest zu untersuchen, wie es aus dem ActionServlet bekommt, bevor es Ihre Struts Aktionen erreicht (das heißt das Httprequest ist von einem authentifizierten und autorisierten Benutzern der URL gegeben kommen?). Alternativ können Sie die Anfrage mit einem ServletFilter abzufangen, wenn man vorsichtig sein müßte, um sicherzustellen, dass es Thread-sicher ist.
