JavaEE - RMI码注入

Question

我正在使用EJB容器和EJB开发一个JavaEE应用程序。

假设我有一个班级学生：

class Student{
 private int id;

 private String resume;

 public void clearXss(){
  ///some logic to clear resume from js scripts
 }
}

我有一个独立的客户机和JavaEE服务器。客户端通过RMI连接到EJB容器。客户端传递学生类的对象。

我的问题是:在object方法上调用clearXss是安全的，还是有必要使用外部方法？我是说：

class MyBean{
 private void save(Student student){...}

 public void saveStudent(Student student){
  sudent.clearXss();
  save(student);
 }
}

vs

class MyBean{
 private void save(Student student){...}

 private String purifyXss(String string){...}

 public void saveStudent(Student student){
  student.setResume(purifyXss(student.getResume()))
  save(student);
 }
}

我害怕的是调用我们从不受信任的客户端获得的对象的安全方法。所以这才是首要的安全问题。

Answer 1

这不是一个简单的问题。一方面，您非常担心服务器端的代码注入。另一方面，据我所知，在RMI技术中，客户机对象将只序列化客户端没有方法的类数据，并在服务器端用类的服务器版本还原(反序列化)，然后这两个变体都可以避免服务器端的方法注入。

Answer 2

我不明白问题的两部分。

1. 关于对象内部的安全方法的问题。通常，与安全性相关的一切都不应该与不处理安全域的对象有关。从什么时候开始，学生对象应该如何处理它的简历在某些情况下是安全的或不安全的。
2. RMI序列化和反序列化对象。通常，这意味着根本不转移任何类型的字节码，也不加载任何类。您所指的是从类(文件)服务器按需下载类文件。正如我所知，你控制着这些服务器。您可以防止客户端发送未签名的类。所以这没什么大不了的。

最后，我要说：

• 首先，将每个安全方面从域对象中提取出来(除非它们属于该域)。为此创建一个实用程序类/ API。
• 其次，检查类服务器控件以及它们是如何在RMI系统(http://docs.oracle.com/javase/tutorial/rmi/index.html)中实现/配置的。他们在你的控制之下。如果任何客户端能够发送您的服务器类文件，而您的服务器必须接受它们，这将是一个很大的问题。因此，有一些简单的解决办法。