VaadinとEclipse RAP/RWTは、私が理解している限り、同様のアーキテクチャを持つ Web アプリケーション フレームワークです。私の質問は、Vaadin または RAP で構築されたアプリケーションがサービス拒否攻撃を受けやすいかどうかです。私は現在フレームワークを評価しており、これが問題ではないことを確認したいと考えています。
これが私の推論です:
Vaadin または RAP を使用すると、HTML 出力を構築するのではなく、代わりに Swing/SWT アプリケーション (RAP の場合は SWT) に似た Widget ツリーを構築します。フレームワークはウィジェット ツリーを HTML としてブラウザーにレンダリングし、ユーザー インタラクションをサーバーに送り返します。サーバーでは、アプリケーションはイベントに関して通知を受けます。イベントは、以前にウィジェットに登録されたリスナー オブジェクトに配信されます。
したがって、ウィジェット ツリーはある種のユーザー セッションで保持する必要があり、もちろんメモリを消費します。
アプリケーションが公開されている場合 (つまり、ログイン ページの背後に配置されていない場合)、そのようなアプリケーションに対してサービス拒否攻撃が行われる可能性があるようです。アプリケーションのランディング ページに要求を送信するだけで、最初の応答を偽造する可能性があります。このようなリクエストに対して、フレームワークは新しいウィジェット ツリーを構築します。このウィジェット ツリーは、セッションの有効期限が切れるまでしばらくサーバー上に存在します。したがって、サーバーのメモリは、絡み合ったユーザー セッションですぐにいっぱいになるはずです。
それとも、これらのフレームワークは、このシナリオに対する保護を発明したのでしょうか? ありがとう。