Servlet3注释是否支持秘密后门访问?

他们可以,但这里的问题不在规范中:而是在运行不受信任的代码。如果您允许一个您不信任的jar加载并运行,那么它可能会做比呈现servlet更糟糕的事情。

也许,也许不是(我不确定)。但是,如果您担心不道德的提供者可能会在他们的jar中做一些事情,那么在普通的旧Java中,他们还可以做很多其他讨厌的事情。如果您担心这类事情,那么您确实需要坚持获取源代码,并且在将代码放到生产服务器之前,您需要对其进行彻底的审核。

你可以使用 <absolute-ordering> 元素,以仅列出web-INF/lib中的jar文件,您希望在部署期间自动分析这些文件中的注释和web-fragment.xml描述符。

here :

Servlet3.0规范 提供用于指示 Web容器,是否 在web组件上。文件的名称 元素是元数据完整的 指示元数据 部署描述符已完成。所以, 如果元数据的值已完成 元素的值设置为true, 在部署中找到的信息 描述符是完整的 在web上定义的注释 组件将被忽略 元数据完成设置为false, 那就意味着 完整的web组件 如果有注解,应该 网络扫描处理