运行环境:tomcat 7
遵守servlet3.0 & jsp2.1规范
数据库:mysql5.1
开源框架:基础上不限制开源框架
API文档://open.taobao.com/doc/api_cat_detail.htm?scope_id=11246&category_id=102
运行环境:tomcat 7
必须打成war包并且需要放到webapps
网络:
TAE Java 应用中的网络设置采用白名单机制,在白名单以外的网络请求将在网关上被拒绝,已开通的应用需要关系的白名单为 top网关地址(gw.api.taobao.com:80) , 应用可通过该地址调用top接口.
其他应用创建的网络请求都将被禁止.
数据源:
必须使用容器提供的数据源,使用方式见JAE提供服务-数据库服务
SQL:
非 常常见的安全问题,开发人员无需过分关注SQL注入问题,TAE Java运行时环境将会自行处理。不过,为了以防万一,请注意开发人员在设计师数据库时,尽可能地避免复杂的字符拼接的SQL,并且不要直接暴露SQL交 互接口。特别提示:由于SQL注入问题,线上系统,可能会在应用关联的数据库表中添加安全字段,这些字段不会影响应用功能性。
Http Req/Res Header:
暂时无法读写相应头中的信息
Redirect(重定向):
外链存在的安全安全风险,因此重定向的URL只能是相对路径或者白名单域名(taobao.com 子域名)
Response.sendError(status,msg):
msg信息将被过滤
Session:
已开放HttpSession接口,禁用方法:getSessionContext,getAttributeNames,getValueNames,invalidate
另 需注意,由于实现是分布式session,放入session中的对象必须实现序列化接口java.io.Serializable ===== XSS =====常见的安全问题,开发者无需关心处理该问题,TAE Java运行时环境将会自行处理===== CSRF =====常见的安全问题,开发者无需关心处理该问题,TAE Java运行时环境将会自行处理
java policy :
policy 文件中描述了java中可允许的操作,该描述文件已尽可能的放开了权限,列表意外的操作都将被禁止。
高度版本登陆:
处于开发阶段的应用访问需要登录,且必须使用开发者帐号登录。
管理页面登陆:
管理页面必须放在admin目录下,容器会自动做登录判断,只有登录开发者帐号才能访问管理页面. 此项功能开发中.
