早期struts2中使用JSTL标签的bug
struts2已经集成了jsp标准的 JSTL标签用法,比如:
Action里面定义的变量private int sellerUin;,除了<s:property>标签外,还可以使用如下jstl来输出到页面上:
${sellerUin}?
struts2会自动对http请求参数做类型转换。请求参数sellerUin=123会正常处理,而请求参数sellerUin=abc则会抛出参数转换错误,返回到"input"这个result上。
?
?
但是,在2.0.9这个版本的struts2中, 传参数sellerUin=abc,只要不是通过<s:property>去获取selleruin的值,这个参数就不会被正常的校验参数类型!也就是说,使用${sellerUin} 一样会在页面上返回abc,而不会抛出参数类型错误。
于是在后台被定义为int,long类型的参数,肯定不会做xss校验。而一旦被人识破并利用${} jstl标签输出,就会对返回页面进行xss注入。
?
经过测试,这个问题在2.0.14版本已经得到修复。
?
?