真狠，為了干掉 HTTP ，Spring團(tuán)隊(duì)又開源nohttp了！

Spring 團(tuán)隊(duì)開源 nohttp 項(xiàng)目，用以查找、替換和阻止 http:// 的使用。

項(xiàng)目是為了在可能使用 https:// 的情況下不使用到 http://，確保不會(huì)發(fā)生中間人攻擊。

Spring Security、Session 和 LDAP 項(xiàng)目負(fù)責(zé)人 ROB WINCH 指出，Spring 團(tuán)隊(duì)竭盡全力更新所有 URL 以使用 HTTPS，包括項(xiàng)目 Maven 存儲(chǔ)庫 URL、Apache License 與文檔鏈接。

但是有些情況下確實(shí)無法使用 HTTPS，例如，Spring 鏈接的某些站點(diǎn)不支持 HTTPS、XML 命名空間標(biāo)識(shí)符必須與文檔中的標(biāo)識(shí)符匹配等。

Spring Framework 目前已經(jīng)更新，以解析通過類路徑使用 HTTPS 位置的 XML 位置。以往這僅適用于使用 HTTP 的 URL。

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        https://www.springframework.org/schema/beans/spring-beans.xsd">

上邊 

https://www.springframework.org/schema/beans/spring-beans.xsd 

URL 通過類路徑解析，而不需要網(wǎng)絡(luò)連接。

這里 XML 命名空間名稱（標(biāo)識(shí)符）無法更改為使用 HTTPS。從安全控制的角度來看，這其實(shí)并不理想，但因?yàn)椴煌ㄟ^網(wǎng)絡(luò)請(qǐng)求，所以對(duì)用戶幾乎沒有任何傷害。

另一方面，ROB 表示 Spring 團(tuán)隊(duì)已更新所有主機(jī)以確保使用 HTTPS，每個(gè)站點(diǎn)都支持 HTTPS、重定向到 HTTPS，并使用 Strict Transport Security。

以往潛在的中間人攻擊意味著構(gòu)建基礎(chǔ)架構(gòu)可能已經(jīng)受到損害，為此，Spring 重新構(gòu)建了所有構(gòu)建基礎(chǔ)架構(gòu)并輪換了所有憑據(jù)。

這些安全措施是很重要的，但是 ROB 表示安全控制措施到位也很重要，這可以確保問題不再發(fā)生。于是團(tuán)隊(duì)更新了構(gòu)建箱以阻止 HTTP 流量，同時(shí)為了保護(hù)開發(fā)人員和用戶，創(chuàng)建了 nohttp 項(xiàng)目。

nohttp 可用于查找、替換和阻止 http:// 的使用

項(xiàng)目庫包含了幾大模塊：

nohttp - 核心，允許查找和替換 http:// URL

nohttp-cli - 輕量的 nohttp 封裝，用于命令行運(yùn)行

nohttp-checkstyle - nohttp 與 checkstyle 集成

nohttp-gradle - nohttp 與 Gradle 集成

samples - 一些 nohttp 用例

來源：https://urlify.cn/mmmI32

推薦閱讀
面試絕對(duì)不能寫的代碼片段
說實(shí)話！你知道 Java 中的回調(diào)機(jī)制嗎？
《吃透 MQ 系列》之核心基礎(chǔ)篇
介紹一款 API 敏捷開發(fā)工具，太爽了！
一款 Java 開源的 Spring Boot 即時(shí)通訊 IM 聊天系統(tǒng)
趕快試試 IDEA 解決 Maven 依賴沖突的高能神器！