security - 客户端 OLAP(例如客户端 MDX 构造加上 xmla4js)是否不利于安全？

Question

我正在开发一个面向公众的 Web 项目，该项目将部分由 OLAP 服务器提供支持。我想从安全角度比较几种执行此操作的方法:

1. 我最初的想法是通过 AJAX 将用户意图的一些表示传递给 Web 服务器，让 Web 服务器进行大量输入验证并构造适当的 MDX 表达式以传递给 OLAP 服务器，最后进行代理将 OLAP 结果返回到浏览器。 (顺便说一句，这似乎是 jpivot 所采用的方法；例如，我只是单击以深入查看 jpivot 示例中的表，发送到服务器的不是 MDX，而只是 x-www-form- urlencoded 字符串“wcf65768426.x=3&wcf65768426.y=3”。)

2. 相比之下，xmla4js该项目的前提似乎是打开防火墙端口并通过 XML/A 将您的 OLAP 服务器暴露给全世界(或至少暴露给您的特定客户)，在客户端 JavaScript 中编写 MDX 查询，并让浏览器直接访问 OLAP 服务器。

我的直觉 react 是对第二种方法持怀疑态度。如果有人对我的 OLAP 服务器执行任意 MDX 语句，似乎不会发生任何不好的事情。我还不是特别先进的 MDX 的学生，但对我来说，这并不是一个无风险的主张。至少有人可以启动一些非常昂贵的查询，或者下载比您希望轻松提供给人们的数据集更大的数据 block 。这不是人们通常使用 SQL 服务器做的事情，而且我最初倾向于认为同样的原因表明您也不应该使用 OLAP 服务器这样做。

但我还想假设 xmla4js 背后的人们考虑到了一些用例，这些用例并不是疯狂的安全风险。我想我可能过于谨慎地考虑这个问题。

任何更有经验的 OLAP 人员都想评论一下让人们直接访问您的 OLAP 服务器的智慧，例如通过 XML/A？

Answer 1

有趣的问题。当然，如果您认为您的用户可能会破解您的网页，那么直接访问您的数据集市(此处为 OLAP 服务器)就是一个风险来源。这是 xmla4js 选项，它与让用户直接访问 RDBM 非常相似。

• 是的，创建一个非常非常耗时的 MDX 查询当然相对容易(例如使用计算成员)。

• OLAP 中可以实现细粒度的安全性，因此用户可能无法访问详细信息。事实和维度安全。

选项 1 的一个问题是成本(时间和金钱)。您将需要更多时间来实现，并且将无法使用现有的小部件和库(例如 GVI Library )。对于您来说，安全和黑客攻击与交付时间相比有多重要？

一种可能的解决方案是使用 XMLA 的 http 代理，仅允许执行“已知”请求。但是，什么是已知查询？

某些 OLAP 服务器允许更好地控制 MDX 请求分配的线程数量以及可以并行执行的请求数量。但这只能解决部分问题。

这确实是一个有趣的问题......并非微不足道。对我们来说运气不好，您不是我们的客户之一;-)