个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在使用 Java/Spring Boot API 开发 AngularJS 应用程序。它使用 Spring Data Elasticsearch 提供对 Elasticsearch 的搜索 API 的访问以进行搜索。这是一个例子:
Page<Address> page = addressSearchRepository.search(simpleQueryStringQuery(query), pageable);
变量query 是用户的搜索字符串。 pageable 是指定页码、页面大小和排序的对象。我可以使用 QueryBuilders 构建其他 Elasticsearch 查询并将它们公开为不同的 API 端点。
另一种选择是使用 QueryBuilders.wrapperQuery 并直接从 JavaScript 发送 Elasticsearch 查询。这是一个示例,其中 jsonQuery 是一个包含完整 Elasticsearch 查询的字符串:
Page<Address> page = addressSearchRepository.search(wrapperQuery(jsonQuery), pageable);
这将是一个安全端点,只有经过身份验证的用户才能访问。这似乎等同于直接公开 Elasticsearch 索引的搜索 API。假设索引中的任何数据都可以安全地显示给用户,这是否存在安全风险?
在我目前的研究中,我发现使用查询可能会使 Elasticsearch 崩溃,但在较新的版本中这并不是什么大问题:https://www.elastic.co/blog/found-crash-elasticsearch#arbitrary-large-size-parameter
也许限制页面大小或在页面非常大时使用扫描和滚动 API 可以缓解这种情况。
我知道应该不惜一切代价避免脚本字段,但默认情况下它们是禁用的(从 v1.4.3 开始)。
最佳答案
如果您知道该怎么做,您仍然可以使 Elasticsearch 崩溃。例如,如果您开始构建 10 个深度嵌套聚合,您很可能会去休息一下。它要么花费大量时间,要么非常昂贵,使用大量内存,让 JVM 进行大量垃圾收集(这基本上卡住了 JVM 中运行的所有其他线程),回收少量内存。它可以通过这种方式使集群无响应。
我并不是说无论您采用何种聚合并创建 10 个深层嵌套聚合都会削弱集群,但在正常情况下,集群是为特定 SLA 构建的并处理一定数量的数据,给定一些繁重的数据聚合(例如 analyzed 字符串字段上的 terms)对于节点来说计算量非常大。
也许节点不会耗尽内存,但节点几乎没有响应。
Elastic 的团队正在努力 implement other circuit breakers和add default limits to certain types of queries and aggregations (一项艰巨的任务)。但是如果你的目标是让你的用户不让 ES 崩溃,而他们可以完全访问所有查询,我认为有办法让它崩溃。就我个人而言,我不会公开 ES 并让我的用户对他们创建的任何查询做任何他们想做的事。
根据您的wrapper 的配置方式,我只允许我的用户进行某些类型的查询/聚合,而对于那些我会施加一些限制(适用于那些接受限制)。
关于elasticsearch - 通过应用程序的 API 直接公开 Elasticsearch Search API 是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39103547/
25
4
0
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 4 年前。 Improve
在 Vim 中,我可以:set wrapscan,这样当我进行增量搜索时,无论第一个匹配项位于光标上方还是下方,光标都会跳转到第一个匹配项。 在 Emacs 中,如果我通过 C-s 开始搜索,如果第一
Elasticsearch 中的页面排名是如何工作的。一旦我们创建了一个索引,就会有一个底层智能层创建一个元数据存储库并提供结果以根据相关性进行查询。我已经创建了几个索引,我想知道在提供查询后结果是如
我们在单个节点上使用 Elasticsearch 对数据进行了索引。我们在后台运行了一个线程,用于使用最近的更改更新索引。 现在我们使用 Elasticsearch API 来运行搜索查询。 {
这突然停止工作,正在工作,但现在却没有: 如果我使用Twitter UI并转到: https://twitter.com/#!/search/%22social%20snap%22%20OR%20%
我在基类中声明了某些字段,并且我想仅为某些子类(实体)注册这些字段。 因此,我不想通过 @Field 注释基类中的这些字段,尽管只需以编程方式注册某些实体就足够了。 但是在基本实体中声明的字段未注册/
我的全文搜索索引有问题。我有一个字符字段大小为 30 的表。我在这个字段上创建了一个全文搜索索引,以便在这个不区分大小写的字段上进行快速搜索操作。现在,当我执行以下查询时:SELECT fieldna
我对SandCaSTLe的输出感到非常满意,但我也想在HTML输出中包含一些搜索功能,这可能吗? 最佳答案 SandCaSTLe帮助文件生成器的网站输出包含 index.aspx 和 index.ht
有没有人遇到过Apache Lucene的功能?我听说它甚至可以与Google Search Appliance(GSA)相提并论。我正在寻找两者之间的明确比较,如果可能的话? 在线上进行的比较非常模
在构建应用程序时,“查找”与“搜索”之间有什么有意义的区别吗?您是否将它们视为同义词? 我在询问应用程序UI和API设计的标签方面。 最佳答案 查找是搜索的完成。 如果您可能无法成功找到某些东西,则将
我想编写一个移动应用程序,它可以拍照并在谷歌图像中搜索类似的图片,然后显示结果。 但是,使用谷歌图像搜索我只能搜索文本字符串,而使用搜索 API 似乎无法搜索相似图片;此功能似乎只能通过网络界面使用。
当我从 Many2one 列表框中选择一个项目时,我想要进行高级搜索。例如,此功能是针对“res.groups”对象实现的。我在/addons 中找不到此功能。 更准确地说,我定义了我的对象 clas
我正在使用 Amazon CloudSearch 存储大量地点。每个地方在一周中的每一天都有开放时间和关闭时间。 我需要按当前时间检索地点。您如何建议对索引进行建模?我想通过创建 7 个文本索引来解决
我见过一些网站,当您执行搜索时会列出相关搜索,即它们会建议您可能感兴趣的其他搜索查询。 我想知道在中型网站中对此进行建模的最佳方法(没有足够的流量来依赖访问者统计数据来推断关系)。我最初的想法是存储每
如何从 Sitecore Lucene 搜索中获取格式化的 url?我创建了一个自定义索引,并在根目录下将其更新为/sitecore/content/websitename/home。 检索到搜索结果
我一直在努力寻找这个并且无法找到我想要的东西。 在我的状态行上,我想要计算当前文件中出现的匹配数。下面的 vim 命令返回我想要的。我需要返回的号码显示在我的状态行中。 :%s/^I^I//n vim
我们有自己的服务器与应用程序一起工作。我们开始使用不同的提供商进行托管,现在我们遇到了上述错误。 关于 同 页面,这有效: 但是这个不 我们无法弄清楚为什么会这样。您
题目地址:https://leetcode.com/problems/search-in-a-binary-search-tree/description/ 题目描述 Given the root
我正在使用很棒的插件 Leaflet.Control.Search为了在我的 map 上搜索标记(来自 geoJson 标记组)——效果很好。 我现在只有一个简单的问题:如何打开搜索结果标记的弹出窗口
我开发了一个允许创建新记录的扩展。 在列表模块中,在记录列表下,有搜索表单。 例如,它适用于 fe 用户,但不适用于我的自定义记录。 是否必须在我的 tca 中添加任何特殊配置才能使此表单与我的自定义
我是一名优秀的程序员,十分优秀!