莫言忧伤jar 2015-11-16 06:34 采纳率: 0%
浏览 3133

tomcat如何拦截恶意url

http://localhost:8080/ddd/&(aaa)((%27%5c043context%5b%5c%27xwork.MethodAccessor.denyMethodExecution%5c%27%5d%5c075%5c043foo%27)(%27%5c043foo%5c075false%27))&(%27%5c043_memberAccess%5b%5c%27allowStaticMethodAccess%5c%27%5d%27)(meh)=true&(asdf)((%27%40org.apache.struts2.ServletActionContext%40getResponse().addHeader(%22XYZXYZ%22%5c054%22XYZXYZ%22)%27)(a))=181

  • 写回答

1条回答 默认 最新

  • Philonic 2015-11-16 07:07
    关注

    防止浏览器直接敲入,可以判断请求来源,在过滤器中实现,
    利用权限控制,随便写的action和method肯定不在某用户(角色)的权限列表中。
    严格参数类型
    用参数集传参
    用正则检测提交的字符串类型参数

    评论

报告相同问题?

悬赏问题

  • ¥15 如何在scanpy上做差异基因和通路富集?
  • ¥20 关于#硬件工程#的问题,请各位专家解答!
  • ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
  • ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
  • ¥30 截图中的mathematics程序转换成matlab
  • ¥15 动力学代码报错,维度不匹配
  • ¥15 Power query添加列问题
  • ¥50 Kubernetes&Fission&Eleasticsearch
  • ¥15 報錯:Person is not mapped,如何解決?
  • ¥15 c++头文件不能识别CDialog