2

(gwt-maven-plugin を使用して) GWT アプリをビルドすると、.war ファイルが作成されます。現在、この .war ファイルには というファイルが含まれておりhosted.html、クエリ パラメータが指定されている場合に、開発 (ホストされていない) モードで実行するために使用されgwt.codesvr=...ます。

これを本番環境で .war ファイルにするとセキュリティ上のリスクがありますか? それとも、このファイルが .war ファイルにならないようにする別の理由がありますか?

もしそうなら、そうする最も簡単な方法は何ですか?

ありがとう!

4

1 に答える 1

3

GWT dev プラグインでは、host+port の webserver+codeserver ペアをホワイトリストに登録する必要があるため、hosted.html のデプロイにセキュリティ上のリスクはまったくありません。これをデプロイする利点は、実稼働サーバーでアプリをデバッグできることです。

注: 必要なホワイトリストは、「単純なクエリ文字列パラメーターによってトリガーされる XSS」を防ぐためです。それ以外の場合、攻撃者は独自のコード サーバーで信頼できる GWT アプリを実行させる可能性があります。

于 2013-03-21T22:44:11.050 に答える