Vert.x3---怎样写一个安全的Vert.x Web apps

最新推荐文章于 2022-11-22 10:34:32 发布
最新推荐文章于 2022-11-22 10:34:32 发布
阅读量1.1k 收藏
点赞数

此文只是对vert.x Web应用程序的入门指导(大神请绕道)。 这绝不是对Web应用程序安全性的全面指导,如OWASP。 标准规则和惯例适用于vert.x应用程序。

不要用root身份运行

DEVOPS团队成员会经常说,只给必要的运行权限,不要多给。有些新手试图以root用户在80或443端口下运行,虽然这样简单,但也为坏蛋打开一扇门。 让我们看看下面的代码:


public class App extends AbstractVerticle {
  @Override
  public void start() {

    Router router = Router.router(vertx);

    router.route().handler(StaticHandler.create(""));

    vertx.createHttpServer().requestHandler(router::accept).listen(80);
  }
}

当与开始CWD设置为/ (java -Dvertx.cwd=/ ...)你就创建了一个简单的文件服务器,给所有服务器存储。 现在,假设你要启动这个程序,会打印如下错误:

Aug 26, 2015 2:02:18 PM io.vertx.core.http.impl.HttpServerImpl
SEVERE: java.net.SocketException: Permission denied

如果你现在使用root运行的,浏览器输入http://localhost/etc/shadow,恭喜你,你的服务器loginspasswords 暴露了 !

有几种方法,可以root用户运行,使用iptables请求转发到更高的端口,使用authbind,配置代理服务器ngnix等…

Sessions

许多应用程序要处理在某些时候用户会话。

会话Cookie应该有SECUREHTTPOnly设置的标志,只发送HTTPS(在使用HTTPS?),也没有脚本访问cookie的客户端:

Router router = Router.router(vertx);

    router.route().handler(CookieHandler.create());
    router.route().handler(SessionHandler
        .create(LocalSessionStore.create(vertx))
        .setCookieHttpOnlyFlag(true)
        .setCookieSecureFlag(true)
    );

    router.route().handler(routingContext -> {

      Session session = routingContext.session();

      Integer cnt = session.get("hitcount");
      cnt = (cnt == null ? 0 : cnt) + 1;

      session.put("hitcount", cnt);

      routingContext.response().end("Hitcount: " + cnt);
    });

    vertx.createHttpServer().requestHandler(router::accept).listen(8080);

在这种情况下,检查浏览器,应该看到:

image

你的浏览器的脚本有读取的能力,可以嗅探劫持或篡改您的会话。

Security Headers

有很多的安全headers有助于提高安全性,只需几行代码。 没有必要在这里解释,因为网上有很好的文章说的做得可能会比我更好。

怎么实现:

public class App extends AbstractVerticle {

  @Override
  public void start() {

    Router router = Router.router(vertx);
    router.route().handler(ctx -> {
      ctx.response()
          // do not allow proxies to cache the data
          .putHeader("Cache-Control", "no-store, no-cache")
          // prevents Internet Explorer from MIME - sniffing a
          // response away from the declared content-type
          .putHeader("X-Content-Type-Options", "nosniff")
          // Strict HTTPS (for about ~6Months)
          .putHeader("Strict-Transport-Security", "max-age=" + 15768000)
          // IE8+ do not allow opening of attachments in the context of this resource
          .putHeader("X-Download-Options", "noopen")
          // enable XSS for IE
          .putHeader("X-XSS-Protection", "1; mode=block")
          // deny frames
          .putHeader("X-FRAME-OPTIONS", "DENY");
    });

    vertx.createHttpServer().requestHandler(router::accept).listen(8080);
  }
}

保护跨站请求伪造(CSRF)

Vert.x webhandler里提供了CSRF保护。下面代码增加CSRF保护:

public class App extends AbstractVerticle {

  @Override
  public void start() {

    Router router = Router.router(vertx);

    router.route().handler(CookieHandler.create());
    router.route().handler(SessionHandler
        .create(LocalSessionStore.create(vertx))
        .setCookieHttpOnlyFlag(true)
        .setCookieSecureFlag(true)
    );
    router.route().handler(CSRFHandler.create("not a good secret"));

    router.route().handler(ctx -> {
      ...
    });

该处理器(handler)增加了一个CSRF令牌(token)。 为了改变cookie(XSRF-TOKEN),设置了一个独一无二的token,即预计返回一个(X-XSRF-TOKEN)header。

限制上传

上传处理一定要定义一个上限,否则你会很容易受到DDoS攻击。 例如,看看下面的代码:

public class App extends AbstractVerticle {

  @Override
  public void start() {

    Router router = Router.router(vertx);

    router.route().handler(BodyHandler.create());

    router.route().handler(ctx -> {
      ...

现在,“好心人”可以随机生成一个1GB的垃圾文件:

dd if=/dev/urandom of=ddos bs=1G count=1

然后把它上传到你的服务器:

curl --data-binary "@ddos" -H "Content-Type: application/octet-stream" -X POST http://localhost:8080/

您的应用程序将愉快地处理,上面两步不断重复,它会耗尽磁盘空间或内存。 为了减轻这些类型的攻击,始终指定的最大允许上传的大小:

public class App extends AbstractVerticle {

  private static final int KB = 1024;
  private static final int MB = 1024 * KB;

  @Override
  public void start() {

    Router router = Router.router(vertx);
    router.route().handler(BodyHandler.create().setBodyLimit(50 * MB));

最后

虽然只有几点,也应该记住。

当程序要用于生产,你还要注意更多:

huhao9527
关注
vertx-web-demo:vert.x 的简单演示 webapp
07-12
Vert.x 示例 Maven 项目 使用 Gradle 构建创建 Vert.x 模块的示例项目。 默认情况下,此模块包含一个简单的 Java verticle,它侦听事件总线并响应ping! 与pong!消息pong! . 此示例还向您展示了如何使用 Java、Groovy、Ruby 和 Python 编测试
vert.x-2.1.2
06-04
vert.x一个轻量级、高性能的Java应用框架,它主要设计用于构建反应式和异步应用程序。在2.1.2版本中,vert.x 提供了一种创新的方式来开发分布式、事件驱动的应用程序,充分利用了Java平台的非阻塞I/O(NIO)能力...
Vert.x开发指南
热门推荐
chszs的专栏
05-20 2万+
Vert.x开发指南作者:chszs,转载需注明。博客主页:http://blog.csdn.net/chszs一、介绍Vert.x一个异步应用程序开发框架,可用于开发异步、可伸缩、高并发的Web应用。其目的在于为JVM提供一个Node.js的替代方案。开发者可以通过它使用JavaScript、Ruby、Groovy、Java,甚至是混合语言来编应用。使用Vertx.x框架,可以用JavaSc
Vert.x 应用的配置
weixin_33882452的博客
01-15 316
为什么80%的码农都做不了架构师?>>> ...
Vert.x 安全和访问控制 译<九>
weixin_34417814的博客
12-05 209
2019独角兽企业重金招聘Python工程师标准>>> ...
Vert.x3异步实战
weixin_33728268的博客
09-01 132
2019独角兽企业重金招聘Python工程师标准>>> ...
大学期间做的各样项目:Java-Python-JavaScript-Vert.X-SpringBoot.zip
最新发布
02-28
一个简单的基于 Mahout库 的电影推荐系统,使用了 Redis 作为缓存,Vert.X 构建 web 服务以提供 RESTful 服务。[2019/12] simple-datamining-online 用 Spring Boot + Vue 实现的一个简单的在线数据挖掘,可上传...
Vert.X-generator是基于javafx8开发的图形界面Vert.x代码生成器
06-03
Vert.X-generator是基于javafx8开发的图形界面Vert.x代码生成器,使用 Apache FreeMarker 作为代码文件的模板,用户可以一键将数据库中的表生成为任意风格的.java代码文件(比如经典的三层模型);该工具支持所有实现JDBC...
vert.x-services:其他 Vert.x 服务
06-13
Vert.x一个轻量级、反应式和非阻塞的 Java 开发框架,它专注于构建分布式系统和微服务。这个“vert.x-services”项目是专门为 Vert.x 设计的一系列服务组件,它们为开发者提供了更丰富的功能和工具,以便于构建...
vert.x-springboot模版项目
07-12
vert.x是内存占用极小的快速开发框架,springboot模版项目
vertx-webVert.x的HTTP Web应用程序
02-05
vertx-webVert.x的HTTP Web应用程序
Vert.x3异步框架实战(转)
frank1998819
12-24 408
原创作者网址:http://www.iteye.com/news/31229   作为异步无阻塞的网络框架,Vert.x的参照物是Node.js,基本可以完成Node.js能完成的所有事情。它是作者目前见过功能最强大,依赖第三方库最少的Java框架。本文将带你深入了解Vert.xVert.x的由来 Vert.x诞生于2011年,当时叫node.x,不过后来因为某些原因改名位Vert...
Vert.x3异步框架实战
lgshendy的专栏
04-20 257
      作者:刘小溪 来源:《程序员》电子刊   发布于 2015-12-25 摘要:作为异步无阻塞的网络框架,Vert.x的参照物是Node.js,基本可以完成Node.js能完成的所有事情。它是作者目前见过功能最强大,依赖第三方库最少的Java框架。本文将带你深入了解Vert.xVert.x的由来 Vert.x诞生于2011年,当时叫node.x,不过后来因 为某些原因改名位Ve...
Vert.x -- web的介绍(三)
程小明的博客
06-24 668
Vert.x Web 是一系列用于基于 Vert.x 构建 Web 应用的构建模块。
Vert.x Web模块(三)
JflyDragon的博客
10-08 2174
 认证/授权 Vert.x有一些创新的处理器用于认证和授权。   创建一个认证处理器 为了创建一个认证处理器,需要一个AuthProvider的实例。认证提供者被用于用户的认证和授权。Vert.x在vertx-aut项目中提供了多个认证提供者创新实例。关于认证提供者的及怎样使用和配置的完整信息,请咨询认证文档。 这是一个用认证提供者创建基本认证处理器的例子:
Vert.x 响应式 Web 框架介绍使用
小毕超博客
04-04 6058
一、Vert.x Vert.x 是JVM上构建 响应式 应用的工具。 响应式应用既可以随着工作负载的增长而 扩展 ,又可以在出现故障时 弹性回复 。 响应式应用是 即时响应 的,因为它能有效利用系统资源并保护自身免受错误影响,从而使延迟可控。Vert.x 背靠庞大的响应式模块生态系统,具有编现代服务所需的一切:全面的Web技术栈,响应式数据库驱动程序、消息队列、事件流、集群支持、指标监控、分布式跟踪等等。 Vert.x最大的特点就在于异步(底层基于Netty),通过事件循环(EventLoop)来调起存储
Vert.x(vertx) Web开发-路由
happyfly的博客
07-03 2万+
Vert.x 创建HTTP服务 中我们已经创建了一个简单的HttpServer,但这个HttpServer比较低级,对于请求参数解析、Session等常用功能都需要我们通过编码实现,也就是要重复造轮子,非常不方便。 Vert.x提供了Web开发组件vertx-web,提供了一堆Web开发中常用的功能。比如参数封装,路由,国际化,认证和授权,session和cookie以及模板等,可以非常方便的...
vert.x web模块(三)
JflyDragon的博客
11-22 214
使用认证处理器重定向,如果一用户试图访问一个被保护的资源并且用户未登录,那么用户会被重定向到一个登录页面。用户填登录表单并提交。服务器端处理器进行用户认证,如果认证成功,用户将会定向回原资源。为了使用重定用认证,需要配置一个RedirectAuthHandler处理器代替basic Authentication handler处理器。并将在实际登录页面中配置认证URL处理认证请求。vert.x提供了一个默认的FormLoginHandler。
Vert.x(vertx) 认证和授权详解(包含认证和授权在Web系统中的使用)
happyfly的博客
12-22 1万+
每个线上系统几乎都是离不开认证和授权的,Vert.x提供了灵活、简单、便捷的认证和授权的支持。Vert.x抽象出了两个核心的认证和授权的接口,一个是AuthProvider,另一个是User。通过这两个接口,我们可以非常灵活的实现我们自定义的认证和授权方法。当然,Vert.x也给我们提供了使用JDBC、Shiro、MongoDB、JWT等授权的实现,我们可以直接使用。 Vert.x提供的认证和...
探索Vert.x3:强大的异步Java框架,超越Node.js
Vert.x3异步框架实战是一篇深度介绍Vert.x的教程,它是一款基于Java的高性能、轻量级的异步网络框架,设计初衷是借鉴Node.js的无阻塞I/O模型,提供了一个在Java虚拟机(JVM)上进行快速、并发和分布式开发的平台。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值