DWR框架安全

    DWR非常全面地考虑过安全问题，在DWR网站上有许多这方面的讨论。

    在使用DWR的过程中，我们在dwr.xml中手动指定哪些java类和方法我们想远程给JavaScript。这样，我们就可以确保没有攻击者能够利用除此之外的其他对象。

    在dwr.xml中，对于每个远程Java类，都有一个create条目，我们可以用singleton、new或其他一些机制。还可以限制哪些方法是被允许访问的（利用include和exclude）。

    在web.xml中还有一些安全参数，如allowScriptTagRemoting以及crossDomainSessionSecurity，开启这些会是一个巨大的安全风险。

    开发一个DWR应用过程中，有一个配置参数很有用，但是在产品（特别是公共）网站中就是一个安全风险。

<init-param>

    <param-name>debug</param-name>

    <param-value>true</param-value>

</init-param>

    当开启了debug/test，DWR会生成测试页，它们是非常有用的工具，可以用来知道DWR功能。

    在DWR中，还有针对远程Java对象的方法的一个基于角色的访问控制。DWR还可以和Spring Security集成。