gpt4 book ai didi

security - 客户端 OLAP(例如客户端 MDX 构造加上 xmla4js)是否不利于安全?

转载 作者:行者123 更新时间:2023-12-03 06:39:30 25 4
gpt4 key购买 nike

我正在开发一个面向公众的 Web 项目,该项目将部分由 OLAP 服务器提供支持。我想从安全角度比较几种执行此操作的方法:

  1. 我最初的想法是通过 AJAX 将用户意图的一些表示传递给 Web 服务器,让 Web 服务器进行大量输入验证并构造适当的 MDX 表达式以传递给 OLAP 服务器,最后进行代理将 OLAP 结果返回到浏览器。 (顺便说一句,这似乎是 jpivot 所采用的方法;例如,我只是单击以深入查看 jpivot 示例中的表,发送到服务器的不是 MDX,而只是 x-www-form- urlencoded 字符串“wcf65768426.x=3&wcf65768426.y=3”。)

  2. 相比之下,xmla4js该项目的前提似乎是打开防火墙端口并通过 XML/A 将您的 OLAP 服务器暴露给全世界(或至少暴露给您的特定客户),在客户端 JavaScript 中编写 MDX 查询,并让浏览器直接访问 OLAP 服务器。

我的直觉 react 是对第二种方法持怀疑态度。如果有人对我的 OLAP 服务器执行任意 MDX 语句,似乎不会发生任何不好的事情。我还不是特别先进的 MDX 的学生,但对我来说,这并不是一个无风险的主张。至少有人可以启动一些非常昂贵的查询,或者下载比您希望轻松提供给人们的数据集更大的数据 block 。这不是人们通常使用 SQL 服务器做的事情,而且我最初倾向于认为同样的原因表明您也不应该使用 OLAP 服务器这样做。

但我还想假设 xmla4js 背后的人们考虑到了一些用例,这些用例并不是疯狂的安全风险。我想我可能过于谨慎地考虑这个问题。

任何更有经验的 OLAP 人员都想评论一下让人们直接访问您的 OLAP 服务器的智慧,例如通过 XML/A?

最佳答案

有趣的问题。当然,如果您认为您的用户可能会破解您的网页,那么直接访问您的数据集市(此处为 OLAP 服务器)就是一个风险来源。这是 xmla4js 选项,它与让用户直接访问 RDBM 非常相似。

  • 是的,创建一个非常非常耗时的 MDX 查询当然相对容易(例如使用计算成员)。

  • OLAP 中可以实现细粒度的安全性,因此用户可能无法访问详细信息。事实和维度安全。

选项 1 的一个问题是成本(时间和金钱)。您将需要更多时间来实现,并且将无法使用现有的小部件和库(例如 GVI Library )。对于您来说,安全和黑客攻击与交付时间相比有多重要?

一种可能的解决方案是使用 XMLA 的 http 代理,仅允许执行“已知”请求。但是,什么是已知查询?

某些 OLAP 服务器允许更好地控制 MDX 请求分配的线程数量以及可以并行执行的请求数量。但这只能解决部分问题。

这确实是一个有趣的问题......并非微不足道。对我们来说运气不好,您不是我们的客户之一;-)

关于security - 客户端 OLAP(例如客户端 MDX 构造加上 xmla4js)是否不利于安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8598998/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com