如何在 Struts 1.2 中验证对 JSP 页面的请求/响应?
短场景:动作类的响应在传递到 jsp 的过程中被捕获并被调整。如何验证该响应是否已被触及? (这都是 VAPT 的一部分,如果听起来不合逻辑,请见谅)
【问题讨论】:
标签: java jsp struts struts-1 struts-validation
动作类的响应在传递到 jsp 的过程中被捕获并被调整
您是说 Java 和 JSP 没有运行同一个容器,甚至不是同一个 JVM,因此它们正在通过网络进行传输,而您担心在那里被拦截?
或者你的意思是你的服务器堆栈中的某种过滤器类故意改变响应,并且你想验证你自己的转换?
或者你的意思是你关心服务器和客户端之间的拦截,你所说的JSP这个词实际上是发送给客户端(浏览器)的渲染HTML?
一般来说,检测篡改的方式是使用散列——这就是为什么当你下载一个开源项目时,你经常会在它旁边看到一个散列下载。在普通浏览器上下文中,我不知道有任何现成的解决方案。也许在单独的选项卡/框架中有一些 javascript,用于检查在单独的请求中传递的哈希?
但最终,如果您担心中间人攻击,请通过https 提出请求。甚至可能使用相互证书(服务器向浏览器发送证书,浏览器向服务器发送证书,作为相互身份验证。)
【讨论】: