在最近的一次采访中,我被问到:
开源Web应用程序(比如建立在Struts/Spring上)更容易被黑客攻击,因为任何人都可以访问源代码并进行更改.你怎么防止它?
我的回答是:
java源代码不能直接访问.它被编译成类文件,然后将它们捆绑在war文件中,并部署在像Weblogic app server这样的安全容器中.应用服务器位于公司防火墙后面,无法直接访问.
那时候 - 我没有提到任何关于XSS和SQL注入的内容,它们会影响类似于开源的基于COTS的Web应用程序.
我的问题:
a)我对这个问题的回答是否正确?
b)我可以在答案中添加哪些附加内容?
提前致谢.
编辑:
在我消化您的回复时 - 我还要指出这个问题也适用于Liferay和Apache OFBiz等框架.