java - Vaadin 和 Spring Security:“/VAADIN/**”路由
问题描述
我有一个带有 Vaadin 8 和 Spring Boot 的应用程序。目前,我正在为这个应用程序添加身份验证。所以,我启用了 Spring Security 并开始修改它。基本上,我遵循了本教程:https ://vaadin.com/tutorials/securing-your-app-with-spring-security/setting-up-spring-security
那里描述的方法工作正常,但是,我对/VAADIN/**
路径需要公开可用的事实有点不安(否则,Vaadin 不起作用)。我的意思是,当然,我已经通过它们的路径(例如/admin
)保护了特定的页面,未经身份验证的用户将无法打开它们,但是暴露/VAADIN/**
路径不是危险的吗?如果一些劫持者试图通过curl
一些特定的标头/参数向 UI 之外的 Vaadin servlet 发送一些请求(通过简单地对其进行 ing)怎么办?是否有可能通过以某种恶意方式格式化此类请求,从而绕过 Spring Security 将数据实际返回给该黑客?
解决方案
但是暴露 /VAADIN/** 路径不危险吗
这并不危险。框架本身只有一些通用部分,比如客户端的静态资源,比如小部件集和主题。话虽如此,当然要注意它的应用程序设计。例如,您不应将包含机密信息的内容作为 ThemeResource 在您的应用程序中放置,而应使用 ClassResource 之类的东西。
推荐阅读
- python - 如何在 FloPy 中添加河流?
- python - “ValueError:一个系列的真值不明确”
- laravel - 我无法通过 laravel 中的 id 找到订单
- javascript - 使用 Javascript 为谷歌图表传递列号
- python - 检测单词然后发送嵌入消息 (discord.py)
- sql - 使用 CTE 确定家庭成员的特定层次 ID
- javascript - 为什么我的 js 函数在脚本标签内工作,为什么不在外部 javascript 文件 django 表单中工作
- flask - NLP Flask 应用程序启动节点在 Google Kubernetes GKE 上超时
- c# - 将同一对象添加到不同列表时,C# 中的内存使用如何工作?
- r - 参与者如何使用 tidyverse 将第一行中的值应用于所有后续行