类型: 安全缺陷
目前大部分WEB框架支持将HTTP请求参数与类的属性相匹配的而生成一个对象。因此,攻击者能够将值放入HTTP请求参数中从而绑定系统对象。
@RequestMapping("/login" )public String login(User user) {...}其中,User 类定义为:public class User {private String username;private String address;private boolean admin;private int age;...}
若有收获,就点个赞吧
0 人点赞
