DWR 的安全性
在使用 DWR 时要明确哪些类和方法是可以被远程调用的。dwr.xml 要求为每一个远程类定义一个 create 项。还可以通过指定 include 和 exclude 元素控制远程调用 Bean 中可以被调用的方法,而不是把所有的方法都暴露给服务器端。除此之外,如果要 DWR 在转换 JavaBean 到 Javascript 时有一定限制,可以控制哪些 bean 的属性可以被转换。特别地,在做删除和更新操作时,可以通过 WebContext 得到 session 来判断用户是否有权限进行该操作。另外,不要在生产环境中打开 debug 属性。