DWR非常全面地考虑过安全问题,在DWR网站上有许多这方面的讨论。
在使用DWR的过程中,我们在dwr.xml中手动指定哪些java类和方法我们想远程给JavaScript。这样,我们就可以确保没有攻击者能够利用除此之外的其他对象。
在dwr.xml中,对于每个远程Java类,都有一个create条目,我们可以用singleton、new或其他一些机制。还可以限制哪些方法是被允许访问的(利用include和exclude)。
在web.xml中还有一些安全参数,如allowScriptTagRemoting以及crossDomainSessionSecurity,开启这些会是一个巨大的安全风险。
开发一个DWR应用过程中,有一个配置参数很有用,但是在产品(特别是公共)网站中就是一个安全风险。
<init-param>
<param-name>debug</param-name>
<param-value>true</param-value>
</init-param>
当开启了debug/test,DWR会生成测试页,它们是非常有用的工具,可以用来知道DWR功能。
在DWR中,还有针对远程Java对象的方法的一个基于角色的访问控制。DWR还可以和Spring Security集成。