我目前正在开发一个原型项目,该项目具有使用 Apache Wicket 构建的前端并使用 web.xml 文件。由于我们正在进行原型设计,因此我们还没有任何要求或需要实现任何与安全相关的功能。话虽如此,整个项目使用 SonarQube 来执行编码标准,其中之一是我的 web.xml 文件中的“向此描述符添加安全约束元素”。
我想我可以简单地在文件中添加一个空标签,例如<security-constraint></security-constraint>满足声纳规则,但是一个团队成员说我不应该这样做,因为一个空标签与没有标签完全不同,它可以引入一堆可能破坏事物的默认约束。我用谷歌搜索了这个,但我只能找到与 security-constraint ie 等的子标签相关的信息<web-resource-collection>,<auth-constraint>这些信息说如果留空它们可以引入默认值。
我实际上已经在<security-constraint></security-constraint>我的 xml 文件中添加了空来测试这一点,并且没有看到这样做的副作用,但我想知道这是否真的是真的,或者我是否在不知情的情况下引入了一堆默认的安全约束。
我也知道我不应该只是在项目中添加东西来取悦 Sonar,但正如我在下面的评论中提到的那样,实际情况是高层管理人员使用 Sonar 作为查看项目状态的一种方式。如果它失败了,他们并不真正关心为什么,他们只是希望它变成绿色。