W3Cschool
恭喜您成為首批注冊(cè)用戶(hù)
獲得88經(jīng)驗(yàn)值獎(jiǎng)勵(lì)
在 Dubbo 中更安全的使用序列化協(xié)議
Dubbo3.0在序列化協(xié)議安全方面進(jìn)行了升級(jí)加固,推薦使用Tripe協(xié)議非Wrapper模式。 該協(xié)議默認(rèn)安全,但需要開(kāi)發(fā)人員編寫(xiě)IDL文件。
Triple協(xié)議Wrapper模式下,允許兼容其它序列化數(shù)據(jù),提供了良好的兼容性。但其它協(xié)議可能存在反序列化安全缺陷,對(duì)于Hession2協(xié)議,高安全屬性用戶(hù)應(yīng)當(dāng)按照samples代碼指示,開(kāi)啟白名單模式,框架默認(rèn)會(huì)開(kāi)啟黑名單模式,攔截惡意調(diào)用。
不建議使用其它序列化協(xié)議,當(dāng)攻擊者可訪(fǎng)問(wèn)Provider接口時(shí),其它序列化協(xié)議的安全缺陷,可能導(dǎo)致 Povider 接口命令執(zhí)行。
若必須使用其它序列化協(xié)議,同時(shí)希望具備一定安全性。應(yīng)當(dāng)開(kāi)啟Token鑒權(quán)機(jī)制,防止未鑒權(quán)的不可信請(qǐng)求來(lái)源威脅Provider的安全性。開(kāi)啟Token鑒權(quán)機(jī)制時(shí),應(yīng)當(dāng)同步開(kāi)啟注冊(cè)中心的鑒權(quán)功能。
Copyright©2021 w3cschool編程獅|閩ICP備15016281號(hào)-3|閩公網(wǎng)安備35020302033924號(hào)
違法和不良信息舉報(bào)電話(huà):173-0602-2364|舉報(bào)郵箱:jubao@eeedong.com
掃描二維碼
下載編程獅App
編程獅公眾號(hào)
聯(lián)系方式:
更多建議: