我们构建一个GWT应用程序(使用gwt-maven-plugin),生成一个.war文件。目前,此.war文件包含一个名为hosted.html的文件,当指定查询参数gwt.codesvr=...时,该文件用于在开发(née托管)模式下运行。
将.war文件投放到生产环境中是否存在安全风险,还是有其他原因可以确保此文件不会以.war文件结尾?
如果是这样,最简单的方法是什么?
谢谢!
答案 0 :(得分:3)
GWT dev插件需要将webserver + codeserver对主机+端口列入白名单,因此在部署hosted.html时绝对没有安全风险。部署它的好处是您可以使用生产服务器调试您的应用程序。
注意:必要的白名单是为了防止“由简单的查询字符串参数触发的XSS”。否则,攻击者可以使用自己的代码服务器运行受信任的GWT应用程序。