前段时间将自己的应用也搭建了DWR框架,这东西确实很好用,它给java与web的交互提供了很好的解决方案,在ajax基础上做了不错的扩展。开发人员只需简单配置下配置文件,web端引用自动生成的JS,就可以实现像写java代码一样做界面操作。
关于它的安全性,是大家一直最关心的。从实践过程中,让我知道,大家对这个框架存在着误区。所谓安全性,不是权限外的用户操作 权限内的操作,因为这个是属于系统权限,即应该是在控制层处理。而非常规操作是否会有安全问题呢?
1.是否会暴露java源码的安全问题
我用chrome的 开发者工具 试了下,他暴露在外面的对应java的js并不是类的直接解析,而是远程调用,这点很重要,所以在客户端是看不到java源码的,不存在暴露源码的安全性。
2.权限是否存在跨权限
这个问题其实不管是struts也好,servlet也好,ajax也好,都会有这样的问题,这是正常的。可以用很多办法解决,比如自定义拦截器,action限制,aop拦截。
3.跨域的问题
跨域一般是指其他网站直接调用本应用的业务逻辑,这是不允许的。可以通过自定义拦截器判断是否来自本站点,
详细判断方法在此