Salve, ho un dubbio di sicurezza riguardo un'architettura che ho pensato per un sito web basato su JSP e Servlet.
Ho una servlet Dispatcher che viene richiamata su tutte le URL digitate (configurando con "/*" il file web.xml di Tomcat). Questa gestisce le autorizzazioni e se sono sufficienti fa accedere a sezioni determinate del sito facendo un forward della request. Siccome potrebbe chiamare delle servlet riservate volevo chiedere se secondo voi è possibile forwardare una richiesta alla servlet riservata da una servlet esterna di un potenziale attaccante.
Schematizzando:
Normalmente accade questo
codice:
Servlet riservata
|
|
|
Servlet Dispatcher <--------- richiesta
E' possibile un attacco di questo tipo?
codice:
Servlet riservata
|
|
|
Servlet di terze parti che esegue un forward da remoto <--- richiesta
In pratica la mia richiesta è: sono necessari ulteriori controlli di permessi all'interno della servlet riservata?
grazie mille
Ciao