1

我有一个 servlet,它在提交表单时发送电子邮件,它工作正常。这是从客户端调用sendMail()在 sendMailServiceImpl 上实现的。

我的问题是关于安全性的:有没有办法让某人输入一个特定的 URL 并发送这些电子邮件?就像是http://myproject.appspot.com/myproject/sendmail?name=aaa&email=aa@aa.com

<servlet>
    <servlet-name>sendMailServiceImpl</servlet-name>
    <servlet-class>com.gw.myproject.server.SendMailServiceImpl</servlet-class>
</servlet>
<servlet-mapping>
    <servlet-name>sendMailServiceImpl</servlet-name>
    <url-pattern>/myproject/sendMail</url-pattern>
</servlet-mapping>
4

1 回答 1

2

有人可能通过 GWT-RPC 发送数据。owasp 描述了一些攻击场景

GWT-RPC 使用 POST 请求。Servlet 不会监听 GET。包括一些机制,这将需要一些关于请求(强名称和序列化策略)和协议本身的知识。

但是如果有人捕获了一个请求,他也可以发送一个请求。

由于同源策略,该请求受到 XSS 的保护。但这对来自普通 java 或 python 或浏览器的请求无济于事--disable-web-security

更多细节:GWT RPC 数据格式

于 2013-09-17T19:50:44.920 回答