【发布时间】:2012-03-12 05:52:20
【问题描述】:
我想知道哪个 Java Web 框架对 XSRF(跨站请求伪造)攻击具有更好的内置保护。
我知道 GWT 提供了这种保护,如果按照here 的描述进行配置,但不知道其他人是否有更好的内置保护。我对 Vaadin 和 Wicket 特别感兴趣,但我的选项列表是开放的。
【问题讨论】:
【发布时间】:2012-03-12 05:52:20
【问题描述】:
任何已建立的知名框架(如您所描述的那些),如果配置正确,都应该为您提供足够的安全性。此外,您使用的任何框架必须进行一些手动配置,以使其在您的特定环境中正常工作。 “开箱即用” 设置通常只为您提供最基本的通用安全保护。
就个人而言,我建议走 GWT 路线并遵循他们的开发指南。但这只是因为我喜欢 GWT,我们已经走上了这条路。您可以在OWASP 找到大量有用的信息。
您还应该考虑将Spring 与您的 GWT 应用程序集成,以获得非常好的安全性。
只是关于 Vaadin 的说明。确保它符合您的开发需求。这是一个很棒的框架,可以让很多事情变得非常简单,但请记住,每次 UI 交互都会产生服务器端请求。因此,如果您处于低延迟环境中,请继续,但请注意您的延迟很高,并且您希望提供非常快速的 UI 响应时间。但同样,我不想破坏 Vaadin,它确实是一个很棒的框架。
【讨论】:
-
Wicket 在某种程度上也是如此:每一段验证或脚本都会往返于服务器并返回。当然,除非你自己动手,但它也有自己的陷阱。