这个问题涉及GWT的RequestFactory。
如果我的服务器域中有一个具有方法getPassword()的User对象。我创建了一个没有这个getPassword()方法的UserProxy(扩展EntityProxy)。这会创建一个安全整体吗?因为服务器域中的User对象具有密码作为其字段,并且如果恶意用户将更改某些javascript并以巧妙的方式询问密码,恶意用户是否会检索密码?似乎对我来说,没有检查来阻止从客户端调用getPassword()方法。
答案 0 :(得分:1)
RequestFactoryServlet(实际上它使用的SimpleRequestProcessor,但这只不过是一个实现细节)使用您的接口来确定哪些属性是可访问的(获取或设置)以及哪些服务方法是可调用的,所以有人可以做一些你没有通过代理或上下文接口公开的事情。没有风险。