Java 是否存在黑客拦截下载到GWT客户端网站的会话数据的风险？_Java_Session_Gwt_Gwtp

Java 是否存在黑客拦截下载到GWT客户端网站的会话数据的风险？

java session gwt

Java 是否存在黑客拦截下载到GWT客户端网站的会话数据的风险？,java,session,gwt,gwtp,Java,Session,Gwt,Gwtp,好的，下面是我的场景。我在服务器端管理会话，请参见以下代码： HttpSession session = requestProvider.get().getSession(); String userMeaningID=(String)(session.getAttribute("userMeaningID")); 然后我把userMeaningID带到客户端网站，这个代码在clinet上 private AsyncCall<PostSignUpResult> postSessio

好的，下面是我的场景。我在服务器端管理会话，请参见以下代码：

HttpSession session = requestProvider.get().getSession();
String userMeaningID=(String)(session.getAttribute("userMeaningID"));

然后我把

userMeaningID

带到客户端网站，这个代码在clinet上

private AsyncCall<PostSignUpResult> postSessionCallback=new AsyncCall<PostSignUpResult>(){
    @Override
    public void onCustomSuccess(PostSignUpResult result) {
          String userMeaningID=result.getUserMeaningID();
          if(userMeaningID!=null && isNumber(userMeaningID)){
               // user can manipulate info here
          } 
      }
 }

private AsyncCall postSessionCallback=new AsyncCall（）{
@凌驾
自定义成功后的公共作废（PostSignUpResult结果）{
字符串userMeaningID=result.getUserMeaningID（）；
if（userMeaningID！=null&&isNumber（userMeaningID））{
//用户可以在这里操作信息
} 
}
}

所以我的问题是，黑客是否有可能以某种方式将假userMeaningID传递到result中，从而

result.getUserMeaningID（）

将返回假ID&因此黑客可以在客户端上处理数据。这不是一个太大的问题，因为即使它们弄乱了数据并发送到服务器，然后在服务器端我再次检查数据以确保它们有效

虽然在插入数据库之前，所有数据都将在服务器端进行检查，但我仍然想知道

是否存在黑客拦截下载到GWT客户端网站的会话数据的风险

如果存在风险，那么我们如何应对呢？

是的，当您的网络受到威胁时，黑客可能会截获数据并向您发送虚假数据（例如：）。您可以通过异步加密算法（例如SSL等算法）保护您的连接，从而保护自己免受此类攻击。https://协议就是这种安全连接的一个例子

但我不会太担心这种情况。除非您正在为银行网站或在线核发射控制器编码，否则这对您的标准web应用程序来说是过度杀伤力。

但我不会太担心这种情况。除非您正在编写银行网站或在线核发射控制器的代码，否则这对于您的标准web应用程序来说是过度杀伤力。

SSL只是解决方案的一部分，因为攻击者仍然可以窃取会话并发送攻击您的rpc服务的请求。使用XSRF令牌确保第三方不会向GWT处理的rpc服务发送恶意请求

实现非常简单

SSL只是解决方案的一部分，因为攻击者仍然可以窃取会话并发送请求来攻击您的rpc服务。使用XSRF令牌确保第三方不会向GWT处理的rpc服务发送恶意请求

实现非常简单

是的，这就完成了答案！是的，这就完成了答案！