是否存在黑客攔截GWT中下載到客戶端網站的會話數據的風險？

Question

好的，這是我的場景。我在服務器端管理會話，請參閱下面的代碼：

HttpSession session = requestProvider.get().getSession(); 
String userMeaningID=(String)(session.getAttribute("userMeaningID")); 

然後我把userMeaningID到客戶的網站，這個代碼是在客戶爲例

private AsyncCall<PostSignUpResult> postSessionCallback=new AsyncCall<PostSignUpResult>(){ 
    @Override 
    public void onCustomSuccess(PostSignUpResult result) { 
      String userMeaningID=result.getUserMeaningID(); 
      if(userMeaningID!=null && isNumber(userMeaningID)){ 
       // user can manipulate info here 
      } 
     } 
} 

所以我的問題是，是否有任何風險該黑客以某種方式將假的用戶意圖ID傳遞給結果，以致result.getUserMeaningID();將返回僞造的ID &，因此黑客可以玩客戶端上的數據。這不是一個太大的問題，因爲即使他們搞砸了數據&發送到服務器，然後在服務器端我再次檢查數據，以確保它們有效。

儘管所有數據都將在服務器端插入到數據庫前要檢查我還是想知道

是否有黑客截取了在GWT下載到客戶端網站會話數據的風險？

如果存在風險，那我們該如何處理呢？

Answer 1

SSL只是解決方案的一部分，因爲攻擊者仍然可以竊取會話併發送請求來攻擊您的rpc服務。使用XSRF令牌來確保第三方不能向由GWT處理的rpc服務發送惡意請求。

實施很簡單。 http://www.gwtproject.org/doc/latest/DevGuideSecurityRpcXsrf.html

Answer 2

嗯，是的，當你的網絡受到攻擊時，黑客可能會截獲數據並向你發送虛假數據（例如：Man-in-the-midle-attack）。您可以通過保護您的連接通過異步加密算法（例如像SSL等算法）來保護自己免受此類攻擊。 https：//協議就是這種安全連接的一個例子。

但我不會太擔心這種情況。除非您正在編碼銀行網站或在線核啓動控制器，否則這對您的標準Web應用程序來說都是過度的。