2

我们构建了一个 GWT 应用程序(使用 gwt-maven-plugin),生成一个 .war 文件。当前,此 .war 文件包含一个名为 的文件hosted.html,当指定查询参数时,该文件用于在开发(née 托管)模式下运行gwt.codesvr=...

将 .war 文件用于生产是否存在安全风险,或者是否有其他理由确保该文件不会出现在 .war 文件中?

如果是这样,最简单的方法是什么?

谢谢!

4

1 回答 1

3

GWT 开发插件要求将主机+端口的 webserver+codeserver 对列入白名单,因此在部署 hosts.html 时绝对没有安全风险。部署它的好处是您可以使用生产服务器调试您的应用程序。

注意:必要的白名单是为了防止“由简单的查询字符串参数触发的 XSS”。否则,攻击者可能会让您使用他们自己的代码服务器运行受信任的 GWT 应用程序。

于 2013-03-21T22:44:11.050 回答