DWR的安全性_Len_qin_新浪博客

最新推荐文章于 2022-08-27 21:40:48 发布
最新推荐文章于 2022-08-27 21:40:48 发布
阅读量94 收藏
点赞数
文章标签: java spring android 编程语言 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43085078/article/details/109656048
版权
  前段时间将自己的应用也搭建了DWR框架,这东西确实很好用,它给java与web的交互提供了很好的解决方案,在ajax基础上做了不错的扩展。开发人员只需简单配置下配置文件,web端引用自动生成的JS,就可以实现像写java代码一样做界面操作。
关于它的安全性,是大家一直最关心的。从实践过程中,让我知道,大家对这个框架存在着误区。所谓安全性,不是权限外的用户操作 权限内的操作,因为这个是属于系统权限,即应该是在控制层处理。而非常规操作是否会有安全问题呢?
1.是否会暴露java源码的安全问题
我用chrome的 开发者工具 试了下,他暴露在外面的对应java的js并不是类的直接解析,而是远程调用,这点很重要,所以在客户端是看不到java源码的,不存在暴露源码的安全性。
2.权限是否存在跨权限
这个问题其实不管是struts也好,servlet也好,ajax也好,都会有这样的问题,这是正常的。可以用很多办法解决,比如自定义拦截器,action限制,aop拦截。
3.跨域的问题
跨域一般是指其他网站直接调用本应用的业务逻辑,这是不允许的。可以通过自定义拦截器判断是否来自本站点, 详细判断方法在此

文章为原创,转载请注明出处。 
本文地址 :http://blog.sina.com.cn/s/blog_679d3f400101c77c.html

allen_qin007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dwr.rar_dwr_dwr tutorial
09-21
这个"**dwr.rar_dwr_dwr tutorial**"压缩包显然包含了一份高质量的DWR教程,可以帮助学习者在短短一周内从零基础到能够将DWR应用于实际项目。下面,我们将深入探讨DWR的关键概念和应用场景。 **1. DWR的核心功能:*...
dwr.rar_dwr_dwr Stri_dwr javabean
09-24
`Allow`定义了哪些Java类和方法可以被JavaScript访问,确保安全性。`Ajax`则处理实际的异步通信,使页面更新无需刷新。 1. **字符串(String)**操作:在DWR中,字符串操作非常直接。你可以像调用本地JavaScript函数...
关于DWR与Servlet、安全
qq_26880671的博客
05-31 152
    使用DWR做Remote,完全绕过传统的MVC框架,如Struts、Webwork,单用一个DWRServlet来做控制器。DWR向客户端 暴露了服务端的服务接口,很有可能有没有任何限制的情况下被客户端调用所暴露的接口。如果使用传统的MVC框架,可以很方便地解决很多问题诸如身份验证、 权限控制等。而DWR提供的功能是给客户端暴露服务接口。上面所涉及的问题却少有牵涉。...
DWR安全方面(网摘)
Ghosthuo的专栏
12-17 2026
安全我们很谨慎的对待DWR安全问题,并且认为有必要解释一下避免错误要做的事情。 首先DWR让你明确哪些是被远程调用的,是如何被远程调用。原则就是DWR必须调用那些你明确允许的代码。 dwr.xml要求你为每一个远程类定义一个create项。你还可以通过指定include和exclude元素来更精确的控制远程调用Bean中可以被调用的方法。 除此之外如果你希望允许DWR在转换你的J
关于dwr安全性问题
持续改进
07-04 1199
在一些网站中,我们虽然使用了AJAX,但是我们并不希望用户能够私自调用这些AJAX,因为有些AJAX调用会包含对数据的更新操作,即使是只读的操作,也不希望用户能在本地进行直接调用。 在 Michael Chen 的这篇文章中 [url]http://michael.nona.name/archives/142[/url] ,提及了ajax应用中的安全问题,并且给出了一个临时的解决方案。虽然我...
DWR安全性疑问描述
gavin每天在进步
10-19 99
背景前提: 针对UserRemote这个远程调用 其中有两个方法: deleteUser和existsUserID 都是可供远程调用的。   问题描述: 假如某个页面只需要用到existsUserID来判断用户是否存在,那么就一定有调用deleteUser来删除用户的能力,这显然是不安全的。   举例: 1)        某用户登录后输入url可以到达填写信息的页面 2...
【web-攻击用户】(9.2)防止XSS攻击
08-27 510
【防止XSS攻击】确认输入、确认输出、消除危险的插入点
dwr.rar_dwr a jax_jax_js 异步
最新发布
09-24
- **安全性:** DWR通过白名单机制限制了可调用的Java方法,增加了安全性。 - **易用性:** DWR降低了JavaJavaScript之间交互的复杂性,对于开发者来说更加友好。 - **跨域支持:** DWR默认不支持跨域,但可以通过...
spring+dwr.rar_dwr_dwr SPRING_spring dwr
09-23
在"spring+dwr.rar_dwr_dwr SPRING_spring dwr"这个项目中,我们将看到如何整合这两个工具,以实现一个简单的功能:验证用户名是否存在。这个功能通常用于注册或登录页面,防止用户选择已被占用的用户名。 步骤如下...
DWR.rar_dwr_博客系统_博客系统struts
09-23
标题中的"DWR.rar_dwr_博客系统_博客系统struts"揭示了这个压缩包内容主要涉及两个技术:Direct Web Remoting (DWR) 和 Struts,用于构建一个博客系统。DWR是一种Java库,允许在JavaScript和服务器端Java之间进行...
http://www.360doc.com/content/14/0313/17/16070877_360315087.shtml
weixin_34334744的博客
04-01 1348
http://www.360doc.com/content/14/0313/17/16070877_360315087.shtml
DWR安全性
john521
04-30 278
DWR安全性 在使用 DWR 时要明确哪些类和方法是可以被远程调用的。dwr.xml 要求为每一个远程类定义一个 create 项。还可以通过指定 include 和 exclude 元素控制远程调用 Bean 中可以被调用的方法,而不是把所有的方法都暴露给服务器端。除此之外,如果要 DWR 在转换 JavaBean 到 Javascript 时有一定限制,可以控制哪些 bean 的属性可...
为什么不推荐去做安全测试工程师?
热门推荐
每天学习一点,今后必成大神
12-25 2万+
对,你没看错。我不推荐大家去做安全测试工程师。 为什么不推荐大家去做安全测试? 今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用,很可能会给企业造成经济损失,带来负面声誉影响的同时,还可能被起诉遭到罚款等等,细思极恐。其中的一部分原因是企业本身安全意识不强,...
还是太年轻!DWR进一步学习
十五楼亮哥
07-29 9597
昨天研究了一下用DWR框架,做了一个消息推送的demo。根据网上的资料,写一个demo并不难。当demo跑起来并能成功向客户端推送消息的时候,我以为会用DWR了。但是当我把DWR集成到springMVC中的时候,又走了一些弯路。根本原因是对DWR的机制原理不了解。DWR做消息推送只是它的一种功能,如果把它理解成消息推送就太狭隘了。当我们研究一门新技术的时候,需要搞清楚几个问题。这个技术用来解决什么问
DWR框架安全
我的博客
10-29 367
    DWR非常全面地考虑过安全问题,在DWR网站上有许多这方面的讨论。     在使用DWR的过程中,我们在dwr.xml中手动指定哪些java类和方法我们想远程给JavaScript。这样,我们就可以确保没有攻击者能够利用除此之外的其他对象。     在dwr.xml中,对于每个远程Java类,都有一个create条目,我们可以用singleton、new或其他一些机制。还可以限制哪些...
DWR安全问题
收集盒 Book box
12-15 6632
作者 -- Ends 昨天测试某系统没有发现比较严重的问题,从数据包中发现了dwr接口,尝试下XSS返回为text/plain。查看官方对DWR Security的说明(http://directwebremoting.org/dwr/security/index.html)也是说XSS、CSRF的。如果接口中包含上传功能,应该和webservice类似吧,还没有利用成功过。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值