我们构建一个GWT应用程序(使用GWT -maven-plugin),生成一个.war文件。当前,这个.war文件包含一个名为hosted.html的文件,当指定查询参数gwt.codesvr=...时,该文件用于在开发(nsame托管)模式下运行。
在生产环境中使用.war文件是否存在安全风险,或者是否有其他原因确保该文件不在.war文件中结束?
如果是,最简单的方法是什么?
谢谢!
GWT开发插件要求webserver+ coserver这对host+port被列入白名单,所以在部署hosted.html时绝对没有安全风险。部署它的好处是,你可以用你的生产服务器调试你的应用。
注意:必要的白名单是为了防止"由一个简单的查询字符串参数触发的XSS"。否则,攻击者可能会让您使用自己的代码服务器运行受信任的GWT应用程序。