CVE-2013-4310 indica il prefisso di azione (la funzione action :) del framework struts2 è vulnerabile. Quindi il venditore ha rilasciato la patch (?) Disabilitando questa funzione. Tuttavia, esiste un'opzione per riattivare questa funzione.
Domanda: Quali sono le implicazioni per la sicurezza sullo stesso (abilitando questa funzionalità). Esistono altre misure che possono essere adottate per mitigare i rischi esposti da questa vulnerabilità?
La funzione del prefisso di azione consiste nel passare a diverse azioni in base al pulsante che l'utente sceglie di fare clic. Ora quali sono le alternative allo stesso? Un'opzione è avere un javascript che gestisce l'onclick e modificare l'azione del modulo, ma qui l'URL nel browser verrà modificato. C'è qualche altra opzione elegante disponibile?
Grazie