安全框架HDIV2.0发布提供更好的性能 |
| 来源: 作者: 点击: |
使用标准安全验证器(validator)(更适合用于可编辑数据验证),不可能检查这种情况,你需要自定义验证。例如,在HttpSession中包含帐号id或在数据库中执行的SQL里使用用户标识。这种安全问题,被认为是实例级别的安全,它非常难以解决。因为,在一个Web应用中,有成千上万条相似的请求需要被验证。
以下是Sarasola描述的HDIV所提供的抵御这些攻击种类的能力:
数据完整性——为了防止参数篡改,HDIV保证任何服务器产生的、只读数据(如隐藏域)不能被客户端修改。
可编辑数据验证——为了去除跨站点脚本和SQL注入攻击,HDIV分析所有的可编辑数据域。
数据保密——通过混淆参数名称和值,HDIV加密了不可编辑数据,这样防止了内部数据(如列名或Web目录名)暴露给客户端。
详细的攻击日志——HDIV记录它检测到的每次攻击的信息,信息包括:URL、用户名、IP地址和攻击类型。
HDIV通过自定义JSP标签与Java Web应用集成,标签用来替换普通的链接和Form标签。在应用的web.xml中插入一个HDIV Web过滤器,这样将对每个请求自动执行验证。在以前版本中,HDIV支持Struts 1.x和Struts 2.x,而本次发布现在也支持Spring MVC 2.0和JSTL。对这些新框架的支持是靠扩展Spring和JSTL标签本身并在其中加入HDIV功能做到的——为了支持它们,对核心HDIV库和Web过滤器都不需要做任何改动。同样,既然Spring和Struts都是基于Action的框架,在HDIV看来,它们非常相似——Sarasola说最大的挑战是扩展框架标签本身,因为标签上定义的扩展点非常糟糕或者压根儿就不存在。他也表示期望框架开发者能对标签增加定义良好的扩展点,以使得其他框架的开发者可以更加容易的集成它们。
Sarasola还被问到了对于HDIV的后续打算,他描述了一个针对Webflow集成的计划:
目前HDIV支持3种状态管理策略。就内存和哈希(memory and hash)策略来说,HDIV为每个可能在JSP中被处理的请求(每个链接或Form之一)在服务器端保存一个对象(状态)。有趣的是,从伸缩性的观点来看,它限制了服务器端的缓存大小。在当前的发布中,可以定义一个最大缓存大小,但是很多时候很难定义一个合适大小的缓存,因为这依赖于应用。
我们考虑用Webflow来解决这个问题 ,因为它提供了一种逻辑划分客户端导航的方法。这样,HDIV将使用Webflow监听器的功能来决定何时从缓存删除对象。
另一个有趣的特性是,利用自定义标签,HDIV给每个链接或Form自动加上了webflow execution key。现在,在Struts、Struts 2和Spring MVC应用中,我们不得不手动增加这个id,我们非常高兴能让这个任务自动起来。
同时,他还指出对于WebWork、Stripes和JSF的支持也在计划之列
|
| 责任编辑: 整理时间:2007-9-20 15:33:04 |
与“安全框架HDIV2.0发布提供更好的性能”相关的文章 |
·农副产品涨价 餐馆调高荤菜价格火了彩印店
·Magiclink VoIP:录音系统解决方案
·Telcom 2.0时代运营商的定位
·百安居地板再陷质量门 “独家特供”竟是劣质纸板
|
搜索与“安全框架HDIV2.0发布提供更好的性能”相关文章 |
|
对“安全框架HDIV2.0发布提供更好的性能”发表评论 |
|