開発メモ

開発用のメモです。

CVE-2014-0094

<interceptor-ref name="params">
    <param name="excludeParams">(!i).*class.*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>
    <param name="paramNameMaxLength">20</param>
</interceptor-ref>
name 設定 備考
excludeParams (!i).class. 大文字小文字問わずに
paramNameMaxLength 20 パラメーター名最大長を20
  • class.classLoader. で18文字である。
  • 完全にシャットダウンするなら
name 設定 備考
paramNameMaxLength 15 パラメーター名最大長を15

とかかな?

Twitter: @asahina_alice