厉害了,Spring团队又开源 nohttp 项目!
作者:h4cd
来源:https://www.oschina.net/news/107377/spring-opensource-nohttp
Spring 团队开源 nohttp 项目,用以查找、替换和阻止 http:// 的使用。
项目是为了在可能使用 https:// 的情况下不使用到 http://,确保不会发生中间人攻击。
Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出,Spring 团队竭尽全力更新所有 URL 以使用 HTTPS,包括项目 Maven 存储库 URL、Apache License 与文档链接。
但是有些情况下确实无法使用 HTTPS,例如,Spring 链接的某些站点不支持 HTTPS、XML 命名空间标识符必须与文档中的标识符匹配等。
Spring Framework 目前已经更新,以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。
上边
https://www.springframework.org/schema/beans/spring-beans.xsd
URL 通过类路径解析,而不需要网络连接。
这里 XML 命名空间名称(标识符)无法更改为使用 HTTPS。从安全控制的角度来看,这其实并不理想,但因为不通过网络请求,所以对用户几乎没有任何伤害。
另一方面,ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS,每个站点都支持 HTTPS、重定向到 HTTPS,并使用 Strict Transport Security。
以往潜在的中间人攻击意味着构建基础架构可能已经受到损害,为此,Spring 重新构建了所有构建基础架构并轮换了所有凭据。
这些安全措施是很重要的,但是 ROB 表示安全控制措施到位也很重要,这可以确保问题不再发生。于是团队更新了构建箱以阻止 HTTP 流量,同时为了保护开发人员和用户,创建了 nohttp 项目。
nohttp 可用于查找、替换和阻止 http:// 的使用,项目库包含了几大模块:
nohttp - 核心,允许查找和替换 http:// URL
nohttp-cli - 轻量的 nohttp 封装,用于命令行运行
nohttp-checkstyle - nohttp 与 checkstyle 集成
nohttp-gradle - nohttp 与 Gradle 集成
samples - 一些 nohttp 用例
详情查看项目介绍:https://github.com/spring-io/nohttp
关注Java技术栈微信公众号,在后台回复关键字:Java,可以获取一份栈长整理的 Java 最新技术干货。
最近干货分享
点击「阅读原文」一起搞技术,爽~
最新文章
- 【转】《从入门到精通云服务器》第七讲—IAAS、PAAS、SAAS
- SQL2008 清除日志
- 使用VideoToolbox硬编码H.264<转>
- Android Tips: 在给drawable中添加图片资源时,文件名必须全小写
- shell text process code
- 使用ASP.NET Web Api构建基于REST风格的服务实战系列教程【三】——Web Api入门
- 关于标准C语言的预定义宏【转】
- ES+Hbase对接方案概述
- Conversions
- 缓存初解(三)---Spring3.0基于注解的缓存配置+Ehcache和OScache
- Android MediaPlayer 和 NativePlayer 播放格式控制
- Process Explorer(增强任务管理器) V16.05 免费绿色版
- FineBI如何在web页面中嵌入式集成
- 统计s="hello alex alex hello haiyan cc haiyan com"中每个单词的个数
- Jquery_基础(三) ajax与json
- [Sdoi2009]Elaxia的路线
- R语言命令汇总
- (笔记)Linux下查看CPU使用率的命令
- 使用URLConnection下载文件或图片并保存到本地
- 《DSP using MATLAB》示例Example 8.7