Dubbo3 序列化協(xié)議安全

2022-03-30 15:14 更新

在 Dubbo 中更安全的使用序列化協(xié)議

Dubbo3.0在序列化協(xié)議安全方面進(jìn)行了升級(jí)加固,推薦使用Tripe協(xié)議非Wrapper模式。 該協(xié)議默認(rèn)安全,但需要開(kāi)發(fā)人員編寫(xiě)IDL文件。

Triple協(xié)議Wrapper模式下,允許兼容其它序列化數(shù)據(jù),提供了良好的兼容性。但其它協(xié)議可能存在反序列化安全缺陷,對(duì)于Hession2協(xié)議,高安全屬性用戶(hù)應(yīng)當(dāng)按照samples代碼指示,開(kāi)啟白名單模式,框架默認(rèn)會(huì)開(kāi)啟黑名單模式,攔截惡意調(diào)用。

不建議使用其它序列化協(xié)議,當(dāng)攻擊者可訪(fǎng)問(wèn)Provider接口時(shí),其它序列化協(xié)議的安全缺陷,可能導(dǎo)致 Povider 接口命令執(zhí)行。

若必須使用其它序列化協(xié)議,同時(shí)希望具備一定安全性。應(yīng)當(dāng)開(kāi)啟Token鑒權(quán)機(jī)制,防止未鑒權(quán)的不可信請(qǐng)求來(lái)源威脅Provider的安全性。開(kāi)啟Token鑒權(quán)機(jī)制時(shí),應(yīng)當(dāng)同步開(kāi)啟注冊(cè)中心的鑒權(quán)功能。


以上內(nèi)容是否對(duì)您有幫助:
在線(xiàn)筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號(hào)
微信公眾號(hào)

編程獅公眾號(hào)