Vaadin有什么建议/图书馆可以最大程度地减少DOS或DDOS攻击？

Question

我的理解是，与使用基于react.js / angular +基于Java-rest的解决方案构建的典型Web项目相比，Vaadin的体系部分/主要是因为其使用AJAX，其本质/本质上可能更加安全。在抵御DOS或DDOS攻击时是否如此？如果不是，是否有任何预建的Vaadin组件/库可防止此类DOS或DDOS攻击？ （仅供参考：我在Vaadin 12上，一旦有可用，很快就会移至Vaadin 14。）

Answer 1

Vaadin的体系结构更安全的原因主要是因为它减少了编程错误的风险：

1. 该框架为您管理客户端-服务器通信。这意味着CSRF令牌和某些类型的输入验证之类的东西始终会自动使用。当您建立自己的通信逻辑时，可能会忘记或忽略某些安全措施。
2. 您所有的业务逻辑都在受信任的服务器上运行，而不是在攻击者可以直接操纵的浏览器中运行。这意味着更容易避免窥探商业机密，也意味着您例如不必重复验证规则，这样它们就可以在浏览器和服务器上运行。

对于诸如DOS之类的操作问题，情况有时恰恰相反。将更多的逻辑和状态管理转移到服务器也意味着更容易使服务器过载。我认为在这个领域没有任何针对Vaadin的缓解措施，而是常规的解决方案，例如各种形式的速率限制。