Quais são as características de segurança estão disponíveis no Struts?
https://stackoverflow.com/questions/302357
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu estou encarregado de desenvolver uma aplicação web e estou pensando em usar o framework Struts, uma vez que parece ser um padrão e é fácil de implementar.
No entanto, antes de tomar uma decisão eu preciso saber recursos disponíveis no Struts a segurança.
Existem formas eficazes para lidar com a OWASP Top 10 usando Struts? E se assim for, como eu ia realizá-lo?
Solução
Struts está lá para lhe oferecer um framework MVC, e ele tem características de segurança limitadas, por exemplo, você pode mapear funções para ações. Eu recomendo que você olhar para algo mais de pleno direito como o href="http://static.springframework.org/spring-security/site/" rel="nofollow noreferrer"> Spring Security ( anteriormente Acegi).
Outras dicas
A melhor maneira de lidar com o OWASP Top dez em struts é olhar para a API OWASP Enterprise Security ...
Mesmo para os recursos que YC menciona, você provavelmente não quer usar um arquivo de configuração Struts fora da caixa para configurar as ACLs por suas ações. Pode ser melhor para examinar programaticamente Estado na HttpRequest como ele sai do ActionServlet, antes que ele atinja suas ações Struts (ou seja, é este HttpRequest vindo de um usuário autenticado e autorizado dada a URL?). Alternativamente, você pode interceptar a solicitação com um ServletFilter, embora você teria que ter cuidado para ter certeza que é seguro para threads.
