¿Qué características de seguridad están disponibles en Struts?
https://stackoverflow.com/questions/302357
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo la tarea de desarrollar una aplicación web y estoy pensando en usar el marco Struts, ya que parece ser un estándar y es fácil de implementar.
Sin embargo, antes de tomar una decisión, necesito conocer las características de seguridad disponibles en Struts.
¿Hay formas efectivas de manejar el OWASP Top 10 usando Struts? Y si es así, ¿cómo lo lograría?
Solución
Struts está ahí para ofrecerle un marco MVC, y tiene características de seguridad limitadas, p. puede asignar roles a acciones. Te recomendaré que busques algo más completo como el Spring Security ( anteriormente Acegi).
Otros consejos
La mejor manera de manejar el OWASP Top ten en puntales es mirar la API de OWASP Enterprise Security ...
Incluso para las características que menciona YC, probablemente no desee utilizar un archivo de configuración de Struts listo para usar para configurar las ACL para sus acciones. Puede ser mejor examinar mediante programación el estado en HttpRequest a medida que sale del ActionServlet, antes de que llegue a sus acciones de Struts (es decir, ¿esta HttpRequest proviene de un usuario autenticado y autorizado con la URL?). Alternativamente, puede interceptar la solicitud con un ServletFilter, aunque debe tener cuidado para asegurarse de que sea segura para subprocesos.
