Vaadin 和 Spring 安全性:“/VAADIN/**”路由
Vaadin and Spring Security: "/VAADIN/**" route
我有一个使用 Vaadin 8 和 Spring Boot 的应用程序。目前,我正在为此应用程序添加身份验证。因此,我启用了 Spring 安全性并开始修改它。基本上,我遵循了这个教程:https://vaadin.com/tutorials/securing-your-app-with-spring-security/setting-up-spring-security
那里描述的方法工作正常,但是,/VAADIN/** 路径需要公开可用这一事实让我有些不安(否则,Vaadin 不起作用)。我的意思是,当然,我已经通过它们的路径(例如 /admin)保护了特定页面,未经身份验证的用户将无法打开它们,但是暴露 /VAADIN/** 路径不是很危险吗?如果一些劫持者试图向 UI 之外的 Vaadin servlet 发送一些请求(通过简单地 curling 它)与一些特定的 headers/parameters 怎么办?是否有可能通过以某种恶意方式格式化此类请求,绕过 Spring 安全性,将数据实际返回给该黑客?
but isn't exposure of /VAADIN/** path dangerous
本身并不危险。框架本身只有一些通用部分,比如客户端的静态资源,比如小部件集和主题。话虽如此,当然要注意它的应用程序设计。例如,您不应将包含机密信息的内容作为 ThemeResource 放入应用中,而应改用 ClassResource 之类的东西。
我有一个使用 Vaadin 8 和 Spring Boot 的应用程序。目前,我正在为此应用程序添加身份验证。因此,我启用了 Spring 安全性并开始修改它。基本上,我遵循了这个教程:https://vaadin.com/tutorials/securing-your-app-with-spring-security/setting-up-spring-security
那里描述的方法工作正常,但是,/VAADIN/** 路径需要公开可用这一事实让我有些不安(否则,Vaadin 不起作用)。我的意思是,当然,我已经通过它们的路径(例如 /admin)保护了特定页面,未经身份验证的用户将无法打开它们,但是暴露 /VAADIN/** 路径不是很危险吗?如果一些劫持者试图向 UI 之外的 Vaadin servlet 发送一些请求(通过简单地 curling 它)与一些特定的 headers/parameters 怎么办?是否有可能通过以某种恶意方式格式化此类请求,绕过 Spring 安全性,将数据实际返回给该黑客?
but isn't exposure of /VAADIN/** path dangerous
本身并不危险。框架本身只有一些通用部分,比如客户端的静态资源,比如小部件集和主题。话虽如此,当然要注意它的应用程序设计。例如,您不应将包含机密信息的内容作为 ThemeResource 放入应用中,而应改用 ClassResource 之类的东西。