2

我在我的应用程序中使用请求工厂,客户端代理包含用户可以修改的 getter 方法和一些 setter 方法,但是出于安全原因,一些 setter 方法没有公开,我想知道是否有可能,用户从客户端,是否能够制造 setter 方法来修改实体?

如果是这样,有人知道如何解决这种情况的安全风险吗?

谢谢。

4

1 回答 1

2

在 Web 开发中要记住一条重要的规则:

你永远不应该相信客户

用户可以访问客户端上的数据并对其进行修改。它还可以生成一些任意RequestFactory有效负载并将其直接发送到后端,甚至无需使用您的应用程序。

因此唯一的解决方案是保护后端并确保允许当前登录的用户调用setter(即使用 AOP 等)

于 2013-01-26T13:54:53.070 回答