最近なにかと狙われがちの、Apache Struts 2。「.action」を通して任意のコードが実行できるという脆弱性はさんざんあちこちで書かれたので、ここでは、システム開発時のちょっとした注意点の小ネタをひとつ書いておこうと思います。 によるXSS struts2のタグは、不用意に使うとXSS(クロスサイトスクリプティング)を招き入れてしまう危険性を備えています。具体的には、struts.xmlのnamespaceの指定を""のように空文字にしている場合に、任意のJavaScriptを混入できる可能性があります。 以下、この事例を、実際に手を動かして確認できるように作ってみます。 Tomcatの準備 まずTomcatをインストールします。この手順を1からここで書くのはさすがに長すぎるので割愛します。以前にちこっと書いたのでそちらを参照してください(http://homepage1.ni
![Struts2で<s:url>を使う際のXSS混入 - ろば電子が詰まつてゐる](https://cdn-ak-scissors.b.st-hatena.com/image/square/34d6cb6488a8aa30567ec3e85e62bd7c40071f75/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fo%2Fozuma%2F20131130%2F20131130231208.png)