是否存在黑客拦截下载到GWT客户端网站的会话数据的风险？

Question

好的，这是我的场景。我在服务器端管理会话，请参见以下代码：

HttpSession session = requestProvider.get().getSession();
String userMeaningID=(String)(session.getAttribute("userMeaningID"));

然后我把userMeaningID带到客户端网站，这个代码在clinet

private AsyncCall<PostSignUpResult> postSessionCallback=new AsyncCall<PostSignUpResult>(){
    @Override
    public void onCustomSuccess(PostSignUpResult result) {
          String userMeaningID=result.getUserMeaningID();
          if(userMeaningID!=null && isNumber(userMeaningID)){
               // user can manipulate info here
          } 
      }
 }

因此，我的问题是，黑客是否会以某种方式将假userMeaningID传递给结果，以便result.getUserMeaningID();返回假ID &这样黑客就可以在客户端上处理数据。这不是一个太大的问题，因为即使是他们搞砸了数据&发送到服务器，然后在服务器端，我再次检查数据，以确保它们的有效性。

虽然在插入DB之前，所有数据都将在服务器端进行检查，但我仍然想知道

是否存在黑客拦截下载到GWT客户端网站的会话数据的风险？

如果有风险，我们如何处理？

Answer 1

SSL只是解决方案的一部分，因为攻击者仍然可以窃取会话并发送攻击rpc服务的请求。使用XSRF令牌确保第三方不能向GWT处理的rpc服务发送恶意请求。

实现是简单明了的。http://www.gwtproject.org/doc/latest/DevGuideSecurityRpcXsrf.html

Answer 2

是的，当您的网络被破坏时，黑客就有可能拦截数据并发送虚假数据(例如：中人攻击)。您可以通过异步加密算法(例如SSL等算法)保护您的连接不受此类攻击。https://协议就是这样一个安全连接的例子。

但我不会太担心这种情况。除非你是在为银行的网站或在线核发射控制器编写代码，否则这对你的标准网络应用程序来说太过分了。