在实时网站中向客户公开solr查询时的安全威胁

时间:2013-01-25 23:10:41

标签: solr security

我打算建立一个网站,我打算使用solr进行搜索整合。这是一个电子商务网站。我想知道将solr查询格式公开给这个网站的用户是否有任何问题?

3 个答案:

答案 0 :(得分:3)

您希望让您的搜索应用程序查询Solr,或使用代理,因此URL不会向Web用户公开。我不太关心查询语法和参数是否可见,只要Web用户无法通过查询发送它们。但是,您肯定希望确保只有Web应用程序可以访问Solr服务器。

答案 1 :(得分:1)

即使您锁定了RequestHandler以便只能通过网络进行搜索,索引中仍可能存在您不希望向客户公开的内容。

例如,如果两个项目在搜索中得分相同,则您希望提高边距较高的项目。为此,您需要在索引中设置保证金,这意味着它可供所有客户和竞争对手查看。

JSON响应编写器非常便于编写轻量级搜索应用程序。至少,您需要在浏览器和Solr之间实现过滤代理。

答案 2 :(得分:0)

您绝对不希望直接向用户公开Solr。你也不想在没有评估的情况下通过格式。

Solr支持的一件事是delete by query。还有其他可能性。您必须清理查询内容。