클라이언트측 보안 위협 예방
더 풍부한 대화식 경험을 제공하는 기술은 애플리케이션 보안 설정이 취약할 수도 있습니다. Rich UI 애플리케이션은 XSS(Cross-site scripting), SQL 인젝션, JavaScript 가로채기를 포함하여 Web 2.0 애플리케이션을 위협하는 보안 취약점에 민감합니다.
EGL을 사용할 때 일부 클라이언트측 위협에서 보호됩니다. 예를 들어, EGL이 JSON(JavaScript Object Notation) 또는 XML을 사용하여 악성 데이터를 클라이언트로 전송하는 것을 예방합니다. 이는 또한 런타임 코드에서 "eval"의 사용을 보호합니다. 그러나 작성할 수 있는 애플리케이션 고객 유형을 제한하지 않고 XSS(Cross-site scripting) 및 SQL 인젝션과 같은 특정 공격 유형을 EGL이 방어하는 것은 매우 어려울 수 있습니다.
JEE 보안으로 EGL Rich UI 프록시를 보안 설정하여 인증되지 않은 클라이언트가 프록시를 호출하는 것을 방지하고 프록시 오용 가능성을 줄일 수 있습니다. 그러나 JEE 보안으로 프록시를 보안 설정하면 인증된 사용자가 의도하지 않은 목적으로 프록시를 사용하는 것은 막을 수 없습니다. 사용자 레지스트리가 더 엄격하게 제어되며 프록시가 더 안전해집니다. 그러므로 보안 상의 이유로 시스템 관리자가 사용자 레지스트리의 액세스를 제어해야 합니다.
JEE 기본 인증의 브라우저 제공 로그인 대화 상자 또는 JEE 양식 기반 인증을 통해 제공되는 화면이 아니라 고유한 로그인 화면을 사용 중인 경우 Rich UI 애플리케이션에 액세스한 일반 사용자의 로그를 보존할 수 있습니다. (Rich UI 애플리케이션에서 JEE 보안을 사용 중인 경우 애플리케이션 서버에서 사용자 ID를 검색할 수 없습니다.) 이 로그는 인증된 사용자가 JavaScript 가로채기 공격을 부추기도록 다른 도메인에서 웹 서비스를 호출하게끔 EGL Rich UI 프록시를 불법적으로 사용하는 경우에 죄가 있는 파티를 판별할 수 있게 도와줍니다. 또한 애플리케이션 서버의 문서를 확인하여 사용자에게 도움이 될 수 있는 로그를 유지보수하는지 확인하십시오.