GWT HTML-риски безопасности виджета

Question

В GWT Javadoc мы советуем

Если вам нужен только простой ярлык (текст, но не HTML), то виджет Label более уместно, так как это запрещает использование HTML, которое может привести к потенциальные проблемы безопасности, если не используются должным образом.

Я хотел бы получить информацию / напоминание о возможностях безопасности. Было бы неплохо перечислить описание механизмов этих рисков.

Являются ли восприимчивости одинаково сильными на GAE против Amazon против моего домашнего сервера linux?
Являются ли они одинаково сильными среди брендов браузеров?

Спасибо.

Answer 1

Риск безопасности при использовании виджета HTML заключается в том, что он не экранирует символы html, как это делает виджет Label. Это открывает возможность Межсайтовый скриптинг (XSS) . Поэтому вы не должны использовать его для отображения данных, предоставленных пользователями. Сам по себе риск использовать его для строковых литералов в вашем коде.

Способ развертывания вашего проекта GWT не имеет большого значения для угрозы безопасности, так как в любом случае существует риск, если вы разрешите печатать предоставленные пользователем данные обратно без экранирования. Но как ваш сайт используется, например, объем контента, добавляемого пользователем, и то, насколько популярна ваша страница, очень сильно влияют на вероятность того, что кто-то действительно воспользуется слабостью.

Хотя ... если у вас есть привычка вводить вредоносный javascript в свой собственный исходный код, используя ярлыки, это не поможет ...: P