在GWT javadoc中,建议我们
如果你只需要一个简单的标签(文字, 但不是HTML),然后是Label小部件 更合适,因为它不允许 HTML的使用,这可以导致 如果不使用潜在的安全问题 正常。
我希望接受有关安全易感性的教育/提醒。列出这些风险机制的描述会很好。
对于GAE与亚马逊相比,我的家庭Linux服务器的敏感度是否同样有效? 它们在浏览器品牌中同样有效吗?
谢谢。
答案 0 :(得分:1)
使用HTML小部件的安全风险是它不会像Label小部件那样转义html字符。这开启了Cross-site scripting (XSS)的可能性。因此,您不应该使用它来显示用户提供的数据。在代码中使用它作为字符串文字本身就存在风险。
如何部署GWT项目对安全风险无关紧要,因为如果您允许用户提供的数据不打印,则无论如何都存在风险。但是如何使用您的网站,例如用户贡献了多少内容,以及您的网页受欢迎程度对人们实际利用弱点的可能性产生巨大影响。
虽然......如果您习惯使用标签在自己的源代码中键入恶意javascript,无论如何都无济于事......:P