我有一个servlet,在提交表单时发送电子邮件,并且工作正常。这是从客户端调用sendMailServiceImpl上实现的sendMail()。
我的问题是关于安全性:是否有人将特定网址和这些电子邮件发送出去?像http://myproject.appspot.com/myproject/sendmail?name=aaa&email=aa@aa.com
<servlet>
<servlet-name>sendMailServiceImpl</servlet-name>
<servlet-class>com.gw.myproject.server.SendMailServiceImpl</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>sendMailServiceImpl</servlet-name>
<url-pattern>/myproject/sendMail</url-pattern>
</servlet-mapping>
答案 0 :(得分:2)
有人可能通过GWT-RPC发送数据。 attacking scenarios decribed
有一些owaspGWT-RPC使用POST请求。 Servlet不会听取GET。包含了一些机制,需要一些关于请求(强名称和序列化策略)和the protocol itself的知识。
但如果有人抓住了请求,他也可以发送请求。
由于同源策略,请求以XSS为安全。但是这对于来自普通java或python或浏览器的请求无效,这些请求是--disable-web-security
更多细节:GWT RPC data format