1
在GWT的javadoc,我們建議GWT HTML控件的安全隱患
如果你只需要一個簡單的標籤(文字, 而不是HTML),則標籤控件 是比較合適的,因爲它不允許 使用HTML,如果沒有正確使用 ,可能導致 潛在的安全問題。
我想教育/提醒有關安全的敏感性。列出這些風險機制的描述將很好。
對於GAE vs亞馬遜vs我的家庭Linux服務器,敏感性同樣有效嗎?
它們在瀏覽器品牌中同樣有效嗎?
謝謝。
A
回答
1
使用HTML小部件的安全風險是它不會像標籤小部件那樣轉義html字符。這開啓了Cross-site scripting (XSS)的可能性。因此,您不應該使用它來顯示用戶提供的數據。在代碼中使用它可以用於字符串文字本身是有風險的。
您的GWT項目如何部署對安全風險無關緊要,因爲無論如何,如果您允許用戶提供的數據未經過轉換打印,風險仍然存在。但您的網站如何使用,例如用戶貢獻了多少內容,以及您的網頁的受歡迎程度對於某人真正利用弱點的可能性有很大影響。
雖然...如果您有使用標籤在您自己的源代碼中輸入惡意javascript的習慣無論如何不會幫助...:P
相關問題
- 1. 安全隱患
- 2. 安全隱患
- 3. 使用CKEditor的安全隱患
- 4. Flex和Javascript的安全隱患
- 5. Request.ServerVariables(「REMOTE_ADDR」)與Request.ServerVariables(「HTTP_X_FORWARDED_FOR」)的安全隱患
- 6. 讓用戶呈現自己的SVG文件的安全隱患
- 7. Javascript參考外部腳本文件 - 安全隱患
- 8. GWT HTML Widget XSS安全
- 9. 使用新技術時的安全隱患
- 10. 金字塔/ wsgi os.environ後門的安全隱患?
- 11. 在PHP會話中存儲POST數據時的安全隱患
- 12. 有限功能服務器的安全隱患
- 13. 捕獲網站的縮略圖沒有安全隱患
- 14. 通過HTTP記錄錯誤 - 安全隱患
- 15. 內容類型text/json是否有安全隱患?
- 16. 正確使用參數處理s:url標記 - 安全隱患?
- 17. Facebook signed_request數據和一些安全隱患
- 18. 運行爲用戶「根」是一個安全隱患,中止
- 19. Laravel Socialite處於「無狀態」模式 - 安全隱患?
- 20. ASP.NET控件中的安全HTML
- 21. 當涉及到JQuery插件時,您是否有任何安全隱患?
- 22. asp.net控件與html元素安全性?
- 23. 沿着加密的AES密鑰存儲密碼哈希的安全隱患
- 24. 增加對用戶的排斥(AWS)的安全隱患:在sudoers中WSGI
- 25. 通過Web服務暴露system.dll是否可能存在安全隱患?
- 26. 在圖像上呈現任意文本是否存在任何安全隱患?
- 27. 在Meteor.js帳戶以外存儲訪問令牌有什麼安全隱患?
- 28. 有一個隱形的ASP.NET控件安全嗎?
- 29. GWT和Spring安全:org.springframework.beans.factory.NoSuchBeanDefinitionException
- 30. GWT GAE Java應用程序的此GWT/RPC安全方法有多安全?