好的,這是我的場景。我在服務器端管理會話,請參閱下面的代碼:是否存在黑客攔截GWT中下載到客戶端網站的會話數據的風險?
HttpSession session = requestProvider.get().getSession();
String userMeaningID=(String)(session.getAttribute("userMeaningID"));
然後我把userMeaningID
到客戶的網站,這個代碼是在客戶爲例
private AsyncCall<PostSignUpResult> postSessionCallback=new AsyncCall<PostSignUpResult>(){
@Override
public void onCustomSuccess(PostSignUpResult result) {
String userMeaningID=result.getUserMeaningID();
if(userMeaningID!=null && isNumber(userMeaningID)){
// user can manipulate info here
}
}
}
所以我的問題是,是否有任何風險該黑客以某種方式將假的用戶意圖ID傳遞給結果,以致result.getUserMeaningID();
將返回僞造的ID &,因此黑客可以玩客戶端上的數據。這不是一個太大的問題,因爲即使他們搞砸了數據&發送到服務器,然後在服務器端我再次檢查數據,以確保它們有效。
儘管所有數據都將在服務器端插入到數據庫前要檢查我還是想知道
是否有黑客截取了在GWT下載到客戶端網站會話數據的風險?
如果存在風險,那我們該如何處理呢?
是的,這就完成了答案! –