Мы создаем приложение GWT (с использованием gwt-maven-plugin), в результате получим файл .war. В настоящее время этот файл .war содержит файл с именем hosted.html
, который используется для запуска в режиме разработки (née hosting), когда задан параметр запроса gwt.codesvr=...
.Должен ли host.html удаляться из файла .war-файла приложения GWT? Как?
Есть ли риск безопасности при наличии этого файла .war в производстве или есть еще одна причина, по которой этот файл не попадает в файл .war?
Если да, то какой самый простой способ сделать это?
Спасибо!
Спасибо! Не могли бы вы пояснить немного больше (и/или указать документацию по этому вопросу)? Какой хост + порт должен быть включен в белый список? Где и где устанавливается сетевое подключение, при использовании плагина GWT dev? Если я перейду к http://example.com/bank/gwtapp?gwt.codesvr=127.0.0.1:9997 (так, чтобы мой браузер запускал этот сайт host.html) и запускал локальный «сервер кода», какая дополнительная информация я собираюсь получить с этого сайта? –
При этом GWT Dev Plugin попросит вас ввести белый список «example.com:80 → 127.0.0.1:9997» перед тем, как он начнется. Это не позволяет злоумышленнику направить вас на использование доверенного webapp с их сервером кода (это будет эквивалент XSS, вызванный простым параметром строки запроса). –
ОК, спасибо за это. Но проблема здесь на самом деле наоборот: я не могу подключить отладчик к банку/gwtapp для отладки через этот код GWT-Java или получить любую другую дополнительную информацию из этого приложения GWT. Does?? Gwt.codesvr = ... 'позволяет мне (как атакующему) делать что-то подобное? –