JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを技術ブログ
今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い話しなので、もう少し詳しく書いておきます。 Javaで、JavaBeansのプロパティにアクセスする場合、 PropertyDescriptor[] descriptors = Introspector.getBeanInfo(クラス).getPropertyDescriptors();で取得できるPropertyDescriptorを使うことがほとんどです。この中に、classプロパティは含まれます。 ここまでは良くて、ネストしたリクエストパラメータ(class.classLoader.xxxなど)をJavaBeansにセットする時に、BeanInfo.getPropertyDescriptors()で取得したものをそのまま使うのが問題なのです。 Seasar2(BeanDesc)では、
Spring MVCとStrutsの一番の違い - しんさんの出張所 はてなブログ編
やっぱりアクションフォーム(SpringMVCではコマンド)関係かなぁ。 Strutsは数値型のプロパティ用意しても変換不可能なものを入力されると0という値に変換して何事もなかったように返すのが一番の問題。したがって、へんにいじられるくらいならばStringだけでいいとかになる。そして型変換全部やるのかよといった面倒なお話になるのも普通。 Spring MVCは数値型のプロパティに文字の入力を入れるとエラーになります。それはBindExceptionとして不正な入力があったパラメータ名や値がとりだせます。そしてエラーがあった場合自動で入力画面に戻され、submitのアクションは呼ばれません。 Spring MVCのほうが一見よさげに見えますが、単純にはそうはいかないのがこまったところ。なんといっても入力エラーがあった場合コマンドは生成されません。テキストフィールドに入力した不正な値も正しい
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
