JavaEE有一些超赞的内置安全机制，但它们远远不能覆盖应用程序要面临的所有威胁。很多常见攻击，例如跨站点脚本攻击（XSS）、SQL注入、 跨站点伪造请求（CSRF），以及XML外部实体（XXE）丝毫没有涵盖。你可以阻止web应用程序和web服务暴露于这些攻击，但这需要一定量的工作和 测试。幸运的是，OpenWebApplicationSecurityProject（OWASP）公布了“10大最关键的web应用程序安全风险”的报告。让我们来看看这些关键的风险如何应用于Java