厲害了，為了干掉 HTTP ，Spring團隊又開源 nohttp 項目！

Spring 團隊開源 nohttp 項目，用以查找、替換和阻止?http://?的使用。

項目是為了在可能使用 https:// 的情況下不使用到 http://，確保不會發生中間人攻擊。

Spring Security、Session 和 LDAP 項目負責人 ROB WINCH 指出，Spring 團隊竭盡全力更新所有 URL 以使用 HTTPS，包括項目 Maven 存儲庫 URL、Apache License 與文檔鏈接。

但是有些情況下確實無法使用 HTTPS，例如，Spring 鏈接的某些站點不支持 HTTPS、XML 命名空間標識符必須與文檔中的標識符匹配等。

Spring Framework 目前已經更新，以解析通過類路徑使用 HTTPS 位置的 XML 位置。以往這僅適用于使用 HTTP 的 URL。

上邊 https://www.springframework.org/schema/beans/spring-beans.xsd URL?通過類路徑解析，而不需要網絡連接。

這里 XML 命名空間名稱（標識符）無法更改為使用 HTTPS。從安全控制的角度來看，這其實并不理想，但因為不通過網絡請求，所以對用戶幾乎沒有任何傷害。

另一方面，ROB 表示 Spring 團隊已更新所有主機以確保使用 HTTPS，每個站點都支持 HTTPS、重定向到 HTTPS，并使用 Strict Transport Security。

以往潛在的中間人攻擊意味著構建基礎架構可能已經受到損害，為此，Spring 重新構建了所有構建基礎架構并輪換了所有憑據。

這些安全措施是很重要的，但是 ROB 表示安全控制措施到位也很重要，這可以確保問題不再發生。于是團隊更新了構建箱以阻止 HTTP 流量，同時為了保護開發人員和用戶，創建了 nohttp 項目。

nohttp 可用于查找、替換和阻止 http:// 的使用，項目庫包含了幾大模塊：

nohttp?- 核心，允許查找和替換 http:// URL

nohttp-cli?- 輕量的 nohttp 封裝，用于命令行運行

nohttp-checkstyle?- nohttp 與 checkstyle 集成

nohttp-gradle?- nohttp 與 Gradle 集成

samples?- 一些 nohttp 用例

詳情查看項目介紹：https://github.com/spring-io/nohttp

本文轉載自微信公眾號朱小廝的博客

HTTP Spring

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。