在001和002的源码中存在安全风险(参pdf32),可以用Facade类(虚假类来解决),此处的虚假类实际上是一个实现ServletRequest接口类和一个实现了ServletResponse接口的类。所以在向Servlet的service传递request和response参数时将其向下转换成ResponseFacade类和RequestFacade类来实现,而不是用ServletRequest来转换,这就避免了getUri()方法的非法引用,增强了安全性,也更好的体现了封装性。
Tomcat-003-解析001和002源码中安全风险和解决方法
最新推荐文章于 2024-09-18 15:55:43 发布