Spring团队开源nohttp,尽可能不用HTTP
Spring 团队开源 nohttp 项目,用以查找、替换和阻止 http:// 的使用。
项目是为了在可能使用 https:// 的情况下不使用到 http://,确保不会发生中间人攻击。
Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出,Spring 团队竭尽全力更新所有 URL 以使用 HTTPS,包括项目 Maven 存储库 URL、Apache License 与文档链接。
但是有些情况下确实无法使用 HTTPS,例如,Spring 链接的某些站点不支持 HTTPS、XML 命名空间标识符必须与文档中的标识符匹配等。
Spring Framework 目前已经更新,以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
https://www.springframework.org/schema/beans/spring-beans.xsd">
上边
https://www.springframework.org/schema/beans/spring-beans.xsd
URL 通过类路径解析,而不需要网络连接。这里 XML 命名空间名称(标识符)无法更改为使用 HTTPS。从安全控制的角度来看,这其实并不理想,但因为不通过网络请求,所以对用户几乎没有任何伤害。
另一方面,ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS,每个站点都支持 HTTPS、重定向到 HTTPS,并使用 Strict Transport Security。以往潜在的中间人攻击意味着构建基础架构可能已经受到损害,为此,Spring 重新构建了所有构建基础架构并轮换了所有凭据。
这些安全措施是很重要的,但是 ROB 表示安全控制措施到位也很重要,这可以确保问题不再发生。于是团队更新了构建箱以阻止 HTTP 流量,同时为了保护开发人员和用户,创建了 nohttp 项目。
nohttp 可用于查找、替换和阻止 http:// 的使用,项目库包含了几大模块:
nohttp - 核心,允许查找和替换 http:// URL
nohttp-cli - 轻量的 nohttp 封装,用于命令行运行
nohttp-checkstyle - nohttp 与 checkstyle 集成
nohttp-gradle - nohttp 与 Gradle 集成
samples - 一些 nohttp 用例
详情查看项目介绍:https://github.com/spring-io/nohttp
开源中国征稿啦!
开源中国 www.oschina.net 是目前备受关注、具有强大影响力的开源技术社区,拥有超过 400 万的开源技术精英。我们传播开源的理念,推广开源项目,为 IT 开发者提供一个发现、使用、并交流开源技术的平台。
现在我们开始对外征稿啦!如果你有优秀的技术文章想要分享,热点的行业资讯需要报道等等,欢迎联系开源中国进行投稿。投稿详情及联系方式请参见:我要投稿
- @ResponseBody 返回json字符串的核心类是org.springframework.http.converter.json.MappingJacksonHttpMessageConverter,它使用了Jackson 这个开源的第三方类库。主要是以下两个jar包:jackson-core-asl-1.6.4.jar;jackson-mapper-asl-1.6.4.jar
- 转:小结一下团队协作中的开源应用 转自:http://www.lingang.gd.cn/?action=show&id=329
- 开源版本的leaf-snowflake(基于美团点评技术团队博客http://tech.meituan.com/MT_Leaf.html)
- spring是开源的轻量级框架——Aop(面向切面)
- spring+httpclient完美集成,封装常用客户端工具类
- 在spring中获得HttpServletRequest 的三种方式
- 一个定期翻译国外Android优质的技术、开源库、软件架构设计、测试等文章的开源项目 http://www.devtf.cn
- 【第二十八章】 springboot + zipkin(brave定制-AsyncHttpClient)
- Activiti集成Modeler(使用Jfinal)(不用SpringMvc,不用Spring)
- 配置Android-Annotation (github20大开源:http://www.eoeandroid.com/thread-278980-1-1.html)
- 《pro Spring》学习笔记之Spring HTTP 远程方法调用集成Tomcat实现安全验证
- 首款开源H.265 Video Encoder IP Core由复旦大学研究团队发布
- 使用spring中的HibernateTemplate简化代码,并且不用管理sessionFactory
- Spring HttpInvoker源码分析
- 或许您还不知道的八款Android开源游戏引擎http://www.001mc.com/
- 转:谈谈对Spring IOC的理解 http://www.cnblogs.com/xdp-gacl/p/4249939.html
- 传统程序员如何转型学习AI?阿里开源核心AI技术,一线算法团队倾力打造
- Spring AOP 自定义注解获取http接口及WebService接口入参和出参
- docker 报错Request error: POST unix://localhost:80/build?t=springio/springboot-demo: 500: HTTP 500 Int