莫言忧伤jar
2015-11-16 06:34
采纳率: 0%
浏览 3.0k

tomcat如何拦截恶意url

http://localhost:8080/ddd/&(aaa)((%27%5c043context%5b%5c%27xwork.MethodAccessor.denyMethodExecution%5c%27%5d%5c075%5c043foo%27)(%27%5c043foo%5c075false%27))&(%27%5c043_memberAccess%5b%5c%27allowStaticMethodAccess%5c%27%5d%27)(meh)=true&(asdf)((%27%40org.apache.struts2.ServletActionContext%40getResponse().addHeader(%22XYZXYZ%22%5c054%22XYZXYZ%22)%27)(a))=181

  • 写回答
  • 好问题 提建议
  • 关注问题
  • 收藏
  • 邀请回答

1条回答 默认 最新

  • Philonic 2015-11-16 07:07

    防止浏览器直接敲入,可以判断请求来源,在过滤器中实现,
    利用权限控制,随便写的action和method肯定不在某用户(角色)的权限列表中。
    严格参数类型
    用参数集传参
    用正则检测提交的字符串类型参数

    评论
    解决 无用
    打赏 举报

相关推荐 更多相似问题