我的理解是,Vaadin的体系结构,部分/主要是因为它使用AJAX,可能比使用say react.js/angular+java rest解决方案构建的典型web项目本质上更安全。当涉及到防止DOS或DDOS攻击时,这是真的吗?如果没有,是否有任何预先构建的Vaadin组件/库可以防止此类DOS或DDOS攻击?(仅供参考:我在Vaadin 12上,一旦Vaadin 14可用,我很快就会转到它。)
Vaadin的体系结构之所以更安全,主要是因为它降低了编程错误的风险:
- 该框架为您管理客户端-服务器通信。这意味着像CSRF令牌和某些类型的输入验证之类的东西总是自动使用的。当你建立自己的沟通逻辑时,有一种风险是你忘记或忽略了某些保障措施
- 您的所有业务逻辑都在受信任的服务器上运行,而不是在攻击者可以直接操纵的浏览器中运行。这意味着更容易保护商业秘密不被窥探,也意味着你不必重复验证规则,这样它们就可以在浏览器和服务器上运行
当涉及到诸如DOS之类的操作问题时,在某些情况下情况正好相反。将更多的逻辑和状态管理转移到服务器也意味着更容易使服务器过载。我不认为在这个领域有任何针对Vaadin的缓解措施,而是常规的解决方案,如各种形式的利率限制。