2

我的理解是,Vaadin 的架构,部分/主要是因为它使用 AJAX,可能比使用基于 react.js/angular + java-rest 的解决方案构建的典型 Web 项目在本质上更安全。在防止 DOS 或 DDOS 攻击方面是这样吗?如果没有,是否有任何预构建的 Vaadin 组件/库来防止此类 DOS 或 DDOS 攻击?(仅供参考:我在 Vaadin 12 上,一旦可用,我将很快移至 Vaadin 14。)

4

1 回答 1

3

Vaadin 的架构之所以能更安全,主要是因为它降低了编程错误的风险:

  1. 该框架为您管理客户端-服务器通信。这意味着诸如 CSRF 令牌和某些类型的输入验证之类的东西总是会自动使用。当您构建自己的通信逻辑时,您可能会忘记或忽略某些保护措施。
  2. 您的所有业务逻辑都在受信任的服务器上运行,而不是在攻击者可以直接操纵的浏览器中运行。这意味着更容易让商业秘密远离窥探,这也意味着您不必复制验证规则,以便它们可以在浏览器和服务器上运行。

当涉及到诸如 DOS 之类的操作问题时,在某些情况下情况恰恰相反。将更多的逻辑和状态管理转移到服务器也意味着更容易使服务器过载。我认为在这个领域没有针对 Vaadin 的任何缓解措施,而是常规解决方案,例如各种形式的速率限制。

于 2019-01-25T07:38:53.317 回答