http://www.jajakarta.org/wiki/workspace/index.php?Struts%2FStrutsXssVulnerabilityApacheWiki
Ja-Jakarta のサイトにStruts XSS Vulnerabilityの翻訳が公開された．

この問題，Struts の脆弱性であることは間違いないのだが，
AP サーバによって動作がマチマチなのは，HttpServletResponse#sendError() メソッドの実装に他ならない．
デフォルトのエラーページを作成するのは AP サーバの役割なのだから，
AP サーバの脆弱性と言えなくも無い．全ての AP サーバできちんと対応しておいて欲しいものだ．
もしくは，Servlet 仕様で明確にしておくべきだとも思う．

id:kare:20051204もご覧を