Strutsアプリケーションでは、アンチXSSサポートを追加する必要があります。最も具体的には、DBに格納する前に、すべてのユーザー入力を「サニタイズ」する必要があります。四角形のホイールを再作成したくないので、どのJavaライブラリをこれに使用できますか?どこに置くの?理想的には、構成可能(チェックする入力フィールド、要求のすべてではない)および高速である必要があります。私の最初の考えはStruts Validatorです。 LLUISStrutsでのXSSの脆弱性を防ぐ方法
あなたはXSSのJavaフィルターのためのGoogleのWiki検索した場合、事前 で
おかげで、あなたは、このoneなど、多くのオープンソースソリューション、思い付くでしょう。
また、OWASP validation projectを見ることもできます。
OWASPのESAPI projectを調べることをお勧めします。これは1年以上にわたって開発されており、2.0リリースに近づいています。
データベースに格納されている値をエスケープするには、Encoder.encodeForSQL()メソッド(reference implementation)を参照してください。
入力の検証のために、バリデータ(reference implementation)をチェックしてください。
注:私の理解では、StingerやCSRFGuardなどの古いプロジェクトで提供されている機能がESAPIに含まれていることを理解しています。
私はこれがプログラミングの疑問であると思います。このタイプの衛生管理は、アプリケーションのクライアント層とデータ層で行う必要があります。 –