默认情况下web容器可能会直接将請求重定向到你的应用程序中。这就允许用户把恶意的请求放入http的host头中我建议你不要信任来自客户端的任何输入。

在应用中的每一个Tapestry页媔应该被调查确保所有的输入都能被自动的映射，并在这些参数被使用之前都是有效的

PBKDF的主要思想是减缓字典生成的时间或者增加攻擊者攻击每一个密码的时间。攻击者会有一个密码表去爆破PBKDF所使用的迭代计数器和salt因为攻击者必须花费大量的计算时间去尝试破解每一個密码，所以攻击者很难用字典攻击和爆破攻击去获得成功

解决方案（java getname8 和之后的版本）

“SHA-1用于生成电子签名：

SHA-1用于电子签名的验证：