【发布时间】:2013-01-26 21:54:53
【问题描述】:
我在我的应用程序中使用请求工厂,客户端代理包含用户可以修改的 getter 方法和一些 setter 方法,但是出于安全原因,一些 setter 方法没有公开,我想知道是否可以那,客户端的用户,是否能够制造setter方法来修改实体?
如果是这样,有人知道如何解决这种情况的安全风险吗?
谢谢。
【问题讨论】:
标签: gwt requestfactory
【发布时间】:2013-01-26 21:54:53
【问题描述】:
在 Web 开发中要记住一条重要规则:
你永远不应该相信客户
用户可以访问客户端上的数据并对其进行修改。它还可以生成一些任意的RequestFactory 有效负载并将其直接发送到后端,甚至无需使用您的应用程序。
因此唯一的解决方案是保护后端并确保允许当前登录的用户调用setter(即使用AOP等)
【讨论】: