代码之家  ›  专栏  ›  技术社区  ›  Mark McLaren

Servlet3注释是否支持秘密后门访问?

annotations servlets java
  •  1
  • Mark McLaren  · 技术社区  · 15 年前

    我希望人们不介意我问一个稍微着眼于未来的问题。如果我的理解有误,请原谅我(请纠正我!)。 Servlet 3 介绍了几种新的注释,包括:

    @Web服务器

    @网络过滤器

    @Web侦听器

    还有一种叫做 web-fragment.xml文件 . 所有这些似乎都旨在使部署servlet、过滤器和侦听器成为可能,而不必编辑web.xml。

    4 回复  |  直到 15 年前
        1
  •  3
  •   GaryF    15 年前

    他们可以,但这里的问题不在规范中:而是在运行不受信任的代码。如果您允许一个您不信任的jar加载并运行,那么它可能会做比呈现servlet更糟糕的事情。

        2
  •  4
  •   Stephen C    14 年前

    也许,也许不是(我不确定)。但是,如果您担心不道德的提供者可能会在他们的jar中做一些事情,那么在普通的旧Java中,他们还可以做很多其他讨厌的事情。如果您担心这类事情,那么您确实需要坚持获取源代码,并且在将代码放到生产服务器之前,您需要对其进行彻底的审核。

        3
  •  2
  •   jarnbjo    15 年前

    你可以使用 <absolute-ordering> 元素,以仅列出web-INF/lib中的jar文件,您希望在部署期间自动分析这些文件中的注释和web-fragment.xml描述符。

        4
  •  1
  •   Sergii Pozharov    15 年前

    here :

    Servlet3.0规范 提供用于指示 Web容器,是否 在web组件上。文件的名称 元素是元数据完整的 指示元数据 部署描述符已完成。所以, 如果元数据的值已完成 元素的值设置为true, 在部署中找到的信息 描述符是完整的 在web上定义的注释 组件将被忽略 元数据完成设置为false, 那就意味着 完整的web组件 如果有注解,应该 网络扫描处理

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号