標準のWebアプリケーション設定では、すべてのコードが同じ権限で実行されます。代わりにprinciple of least privilegeに従うことが望ましく、Javaのセキュリティマネージャ(「サンドボックス」)は、理論上、可能にする必要があります。細かいセキュリティのためにJavaのセキュリティマネージャを使用するJava Webフレームワークはありますか?
ウェブアプリケーション内のコードは、ログインしているユーザーが許可されているものだけを実行する権限をコードに持つ「フロントエンド」と、実行する「バックエンド」これらの制限を「フロントエンド」コードに課します。テンプレートや制御ロジックの多くは、あまり特権を持たない「フロントエンド」コードの一部であり、攻撃者がセキュリティを脅かす可能性のある方法を制限します。
これはすでに完了していますか?よく使われるWebフレームワークの一部ですか?