虽然，JavaEE 内置了一些非常优秀的安全机制，但是它不能全面应对应用程序面临的各种威胁，尤其许多最常见的攻击：跨站攻击（XSS），SQL 注入，Cross-Site Request Forgery (CSRF), 与 XML eXternal Entities (XXE) 等。如果你不对系统做大量的安全测试、漏洞修补以及购买应用级安全防护工具，应用程序就完全暴露在这些攻击之下。幸运的是，开源