Vaadin 是否有任何 suggestions/libraries 来减少 DOS 或 DDOS 攻击?
Does Vaadin have any suggestions/libraries to minimize DOS or DDOS attacks?
我的理解是 Vaadin 的架构,partly/mainly 因为它使用 AJAX,可能 slightly/signficantly 比使用 say react 构建的典型 Web 项目更安全。js/angular + java-基于休息的解决方案。在防止 DOS 或 DDOS 攻击方面是否如此?如果没有,是否有任何预构建的 Vaadin components/libraries 来防止此类 DOS 或 DDOS 攻击? (仅供参考:我正在使用 Vaadin 12,一旦 Vaadin 14 可用,我将很快转移到它。)
Vaadin 的架构之所以可以更安全,主要是因为它降低了编程错误的风险:
- 该框架为您管理客户端-服务器通信。这意味着诸如 CSRF 令牌和某些类型的输入验证之类的东西总是自动使用的。当您构建自己的通信逻辑时,您可能会忘记或忽略某些安全措施。
- 您的所有业务逻辑 运行 都在受信任的服务器上,而不是在可以被攻击者直接操纵的浏览器中。这意味着更容易让商业秘密远离窥探的眼睛,也意味着您例如。不必复制您的验证规则,以便它们可以 运行 在浏览器和服务器上。
当涉及到诸如 DOS 之类的操作问题时,情况在某些情况下恰恰相反。将更多的逻辑和状态管理移至服务器还意味着更容易使服务器过载。我认为在此 space 中没有针对 Vaadin 的任何缓解措施,而是常规解决方案,例如各种形式的速率限制。
我的理解是 Vaadin 的架构,partly/mainly 因为它使用 AJAX,可能 slightly/signficantly 比使用 say react 构建的典型 Web 项目更安全。js/angular + java-基于休息的解决方案。在防止 DOS 或 DDOS 攻击方面是否如此?如果没有,是否有任何预构建的 Vaadin components/libraries 来防止此类 DOS 或 DDOS 攻击? (仅供参考:我正在使用 Vaadin 12,一旦 Vaadin 14 可用,我将很快转移到它。)
Vaadin 的架构之所以可以更安全,主要是因为它降低了编程错误的风险:
- 该框架为您管理客户端-服务器通信。这意味着诸如 CSRF 令牌和某些类型的输入验证之类的东西总是自动使用的。当您构建自己的通信逻辑时,您可能会忘记或忽略某些安全措施。
- 您的所有业务逻辑 运行 都在受信任的服务器上,而不是在可以被攻击者直接操纵的浏览器中。这意味着更容易让商业秘密远离窥探的眼睛,也意味着您例如。不必复制您的验证规则,以便它们可以 运行 在浏览器和服务器上。
当涉及到诸如 DOS 之类的操作问题时,情况在某些情况下恰恰相反。将更多的逻辑和状态管理移至服务器还意味着更容易使服务器过载。我认为在此 space 中没有针对 Vaadin 的任何缓解措施,而是常规解决方案,例如各种形式的速率限制。