【发布时间】:2008-11-05 13:56:53
【问题描述】:
如果假设我们在一个应用程序中向另一个应用程序隐藏帖子以利用该应用程序功能,是否存在任何安全问题?
【问题讨论】:
-
如果您能澄清“隐藏帖子”的含义,将会有所帮助。 HTTP 发布? Windows 上的 PostMessage()?
如果假设我们在一个应用程序中向另一个应用程序隐藏帖子以利用该应用程序功能,是否存在任何安全问题?
【问题讨论】:
视情况而定。您是否使用某种身份验证和加密?
这可能会导致许多安全问题。尽管您可以说许多实现。大多数配置不当的东西都可能是一个安全问题。
【讨论】:
将其他应用程序的功能包装在 Web 服务中会更好。这将使您与被调用应用程序界面中的任何更改(例如表单主体中的其他元素)隔离一小层。
也就是说,正如另一个答案中所述,身份验证和加密很重要。但是,它实际上不会比直接通过其 UI 使用其他应用程序更安全。
编辑:至少有一种情况会导致新场景的安全性低于旧场景。如果被调用的应用程序对输入数据使用纯粹的客户端验证(坏主意),那么在进行交叉发布时,您将不得不重复该验证。
【讨论】: