Spring 团队开源 nohttp,尽可能不用 HTTP

h4cd
 h4cd
发布于 2019年06月12日
收藏 37

Spring 团队开源 nohttp 项目,用以查找、替换和阻止 http:// 的使用。

项目是为了在可能使用 https:// 的情况下不使用到 http://,确保不会发生中间人攻击。Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出,Spring 团队竭尽全力更新所有 URL 以使用 HTTPS,包括项目 Maven 存储库 URL、Apache License 与文档链接。但是有些情况下确实无法使用 HTTPS,例如,Spring 链接的某些站点不支持 HTTPS、XML 命名空间标识符必须与文档中的标识符匹配等。

Spring Framework 目前已经更新,以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        https://www.springframework.org/schema/beans/spring-beans.xsd">

上边 https://www.springframework.org/schema/beans/spring-beans.xsd URL 通过类路径解析,而不需要网络连接。这里 XML 命名空间名称(标识符)无法更改为使用 HTTPS。从安全控制的角度来看,这其实并不理想,但因为不通过网络请求,所以对用户几乎没有任何伤害。

另一方面,ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS,每个站点都支持 HTTPS、重定向到 HTTPS,并使用 Strict Transport Security。以往潜在的中间人攻击意味着构建基础架构可能已经受到损害,为此,Spring 重新构建了所有构建基础架构并轮换了所有凭据。

这些安全措施是很重要的,但是 ROB 表示安全控制措施到位也很重要,这可以确保问题不再发生。于是团队更新了构建箱以阻止 HTTP 流量,同时为了保护开发人员和用户,创建了 nohttp 项目。

nohttp 可用于查找、替换和阻止 http:// 的使用,项目库包含了几大模块:

详情查看项目介绍:

https://github.com/spring-io/nohttp

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.aercaste.com]
本文标题:Spring 团队开源 nohttp,尽可能不用 HTTP
加载中

精彩评论

A
AlanWake
No http 和okhttp是冤家?
G
GogHox
人家爱用就用嘛,人家不在乎安全,关你什么事,瞎操心,,理想当然是全https,但那只是理想,到时为了绕过这层限制又有得搞了,

最新评论(9

bkkkd
bkkkd
大部分都是会再代理一层吧
MGL_TECH
MGL_TECH
zhichi
cevin
cevin
内网rpc也强制要求https吗
G
GogHox
人家爱用就用嘛,人家不在乎安全,关你什么事,瞎操心,,理想当然是全https,但那只是理想,到时为了绕过这层限制又有得搞了,
A
AlanWake
No http 和okhttp是冤家?
livem
livem
。。。no http
百世经纶一页书梵天
百世经纶一页书梵天
看来要火
开源中国区块链CEO
开源中国区块链CEO
要火,留贴为证。
二进制艺术
二进制艺术
支持
返回顶部
顶部