我在我的应用程序中使用请求工厂,客户端代理包含用户可以修改的getter方法和一些setter方法,但是出于安全原因,某些setter方法没有公开,我想知道是否可能那个来自客户端的用户是否能够制作setter方法来修改实体?
如果是这样,有人知道如何解决这种情况的安全风险吗?
感谢。
答案 0 :(得分:2)
在网络开发中需要记住一条重要的规则:
您永远不要相信客户
用户可以通过所有方式访问客户端上的数据并进行修改。它还可以生成一些任意RequestFactory有效负载并将其直接发送到后端,甚至无需使用您的应用。
所以唯一的解决方案是保护后端并确保允许当前登录的用户调用setter(即使用AOP等)