1
我是新來的webapps,所以我很抱歉,如果這個問題似乎天真,只是想學習。我正在研究使用elasticsearch進行自動完成。我所見過的所有例子都展示了jQuery/ajax/angularjs的一些形式,它將彈性搜索網址暴露給用戶,這看起來很糟糕。什麼是保護服務器url的正確方法,同時仍允許ajax打電話(即使間接)?如何安全Elasticsearch當使用AJAX
A
回答
1
在AJAX世界裏,沒有辦法保護服務器的URL。沒關係;無論如何,默默無聞的安全措施並不是一個好的做法。你需要做的是確保你的服務器不能通過這個URL被黑客入侵。幾個提示:
禁用ES中的腳本。新版本的ES在默認情況下禁用它。
不要將裸露的ES服務器暴露給世界。默認情況下,ES在端口9200上可用,這意味着任何人都可以運行任何查詢(或執行其他任何他們想要的操作)。確保端口被阻止外部訪問。正如一位評論者指出的那樣,Javascript應該調用你的服務器,而服務器又應該調用ES服務器作爲本地主機(再次確保localhost:9200被外部訪問阻止)或防火牆後面。
清除所有輸入查詢,然後將它們傳遞給ES。 ES爲SQL爲「注入」的攻擊不太容易,但它仍然是至關重要的過濾掉任何討厭的字符,如\ {「:等等,以字符串長度限制在合理的東西,等
祝你好運!
相關問題
- 1. 使AJAX調用安全
- 2. 安全 - Ajax和Nonce使用
- 3. Elasticsearch:安全問題
- 4. 如何修改索引安全性Elasticsearch?
- 5. 如何使jQuery的安全Ajax請求?
- 6. 當安全使用`isalpha()`
- 7. ElasticSearch安全和端口
- 8. 使ajax參數安全
- 9. 如何安全使用cronjobs
- 10. 如何安全使用UPX?
- 11. 如何安全使用$ _GET?
- 12. 如何安全使用LIKE
- 13. 如何使用安全RPC?
- 14. jQuery ajax安全
- 15. ajax安全性?
- 16. 使用SpringMVC和jQuery的Ajax安全性
- 17. 使用CouchDB和AJAX安全嗎?
- 18. Ajax調用和安全
- 19. 安全的Ajax調用
- 20. 如何編寫安全的AJAX請求?
- 21. 如何修復ajax安全性?
- 22. 如何使用elasticsearch
- 23. AJAX安全問題
- 24. Ajax安全問題
- 25. Ajax POST/GET安全
- 26. PHP和AJAX安全
- 27. CKEditor和安全AJAX
- 28. 安全:AJAX帖子
- 29. AJAX安全幫助
- 30. Ajax高分安全
沒有什麼是安全的與js,都是可見的,你只能嘗試使它更難解碼。最好的方法是調用你自己的服務器與ajax,它調用elasticSearch url並返回結果。你只是不想彈性搜索網址顯示,只有你的服務器網址 – juvian 2014-11-05 21:42:11