厉害了,为了干掉 HTTP ,Spring团队又开源 nohttp 项目!

网友投稿 569 2022-05-29

Spring 团队开源 nohttp 项目,用以查找、替换和阻止 http:// 的使用。

项目是为了在可能使用 https:// 的情况下不使用到 http://,确保不会发生中间人攻击。

Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出,Spring 团队竭尽全力更新所有 URL 以使用 HTTPS,包括项目 Maven 存储库 URL、Apache License 与文档链接。

但是有些情况下确实无法使用 HTTPS,例如,Spring 链接的某些站点不支持 HTTPS、XML 命名空间标识符必须与文档中的标识符匹配等。

Spring Framework 目前已经更新,以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。

上边 https://www.springframework.org/schema/beans/spring-beans.xsd URL 通过类路径解析,而不需要网络连接。

这里 XML 命名空间名称(标识符)无法更改为使用 HTTPS。从安全控制的角度来看,这其实并不理想,但因为不通过网络请求,所以对用户几乎没有任何伤害。

厉害了,为了干掉 HTTP ,Spring团队又开源 nohttp 项目!

另一方面,ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS,每个站点都支持 HTTPS、重定向到 HTTPS,并使用 Strict Transport Security。

以往潜在的中间人攻击意味着构建基础架构可能已经受到损害,为此,Spring 重新构建了所有构建基础架构并轮换了所有凭据。

这些安全措施是很重要的,但是 ROB 表示安全控制措施到位也很重要,这可以确保问题不再发生。于是团队更新了构建箱以阻止 HTTP 流量,同时为了保护开发人员和用户,创建了 nohttp 项目。

nohttp 可用于查找、替换和阻止 http:// 的使用,项目库包含了几大模块:

nohttp - 核心,允许查找和替换 http:// URL

nohttp-cli - 轻量的 nohttp 封装,用于命令行运行

nohttp-checkstyle - nohttp 与 checkstyle 集成

nohttp-gradle - nohttp 与 Gradle 集成

samples - 一些 nohttp 用例

详情查看项目介绍:https://github.com/spring-io/nohttp

本文转载自微信公众号朱小厮的博客

HTTP Spring

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:「程思扬」,诚邀投稿
下一篇:《Word/Excel/PPT 2019完全自学教程 : 视频讲解版 》 —2.6.3 设置段落间距
相关文章