避免通过用户输入构造服务器端重定向路径。当不能完全避免时,应该对非受信的用户输入数据进行验证。或者创建一份安全字符串列表,限制用户只能输入该列表中的数据。 例如:在下面的代码片段中,程序接收不可信赖的数据,先判断其值是否合理,再将它的内容作为服务端的转发路径。 String path = request.getParameter("path"); //判断路径是否合理if(isSafePath(path)){ return new ActionForward(path); }