安全供营商Imperva辨认了在DWR的存取控制弱点, Java开放来源AJAX发展框架(稳定的发行1.1.3和2.0),它说攻击者可能使用减弱也许反过来使他说的DWR基于应用断裂到后端数据库里或服务器或者发射否认服务攻击。

在正面笔记Imperva评论了那DWR, AJAX Web应用程序发展框架,是
“涌现作为大厦新一代网的混合语2.0应用” :)

强有力的方法祈求攻击
主要问题是DWR怎么限制对没被暴露的类方法的通入。 DWR 1.1.3提供禁止类方法的祈求的一个配置选项。 这排除可以被申请于一些或所有类的方法,并且它在dwr.xml文件配置。 DWR 2.0增加包括JAVA代码注释的一个另外的配置选项。 然而,两个方法强制执行他们的仅制约在客户端。 所以,由操作的HTTP请求通过代理人,被排除的方法可以祈求。 这也适用于从超级类被继承的公开方法。

作为上述弱点结果被制约的操作也许无心地被暴露在网友。

解答
解答为应用开发者是简单的。 标记您不想要暴露作为私有或保护的方法。 应该从缺乏的对象oritented发展的极小的概念Java世界那么已经逐出不做的任何人 :)

您能也使用代理人暴露仅某些方法。

在DWR的边解答是强制执行是否是否是在服务器端的同样制约,不它基本的博士华森?