4
在標準的Web應用程序設置中,所有代碼都以相同的權限運行。最好遵循principle of least privilege,而Java的安全管理器(「沙箱」)理論上應該可以做到這一點。是否有一個Java Web框架使用Java的安全管理器來實現細粒度的安全性?
我想象一個設置,其中webapp中的代碼由一個「前端」和一個「後端」組成,前端的代碼有權僅執行登錄用戶可以執行的操作,更大的特權並對「前端」代碼施加這些限制。然後,模板和大部分控制邏輯將成爲權限較低的「前端」代碼的一部分,從而限制攻擊者危及安全的方式。
這已經完成了嗎?它已經是任何常用Web框架的一部分嗎?