我工作的公司销售在 Tomcat、WebSphere 或 WebLogic 上运行的 J2EE 应用程序。我们有一位客户试图在 Tomcat 和 WebSphere 之间做出选择。他们倾向于 WebSphere,因为他们担心 Tomcat 存在更多安全漏洞。
在网络上四处搜索后,我无法找到任何站点或研究从安全角度比较主要 J2EE 应用程序服务器的健壮性。
谁能给我指出比较应用服务器安全漏洞的信息?
最佳答案
有趣的是,您的客户“担心 Tomcat 存在更多安全漏洞”。我想知道他们是否可以列出这些漏洞是什么?如果他们做不到,那就是传闻和 FUD。
我会说所有的网络服务器/servlet 引擎都遇到同样的问题。部署在它们上的应用程序才是真正的安全漏洞。跨站点脚本、SQL 注入(inject)、缺乏输入验证、由于不良的分层和做法而暴露敏感数据 - 这些都是应用问题,无论您选择哪个应用服务器,这些问题都会成为问题。 p>
我个人认为 WebLogic 是市场上最好的 Java EE 应用服务器。我没有使用 WebSphere 的第一手经验,但我尊敬的人告诉我这是一场恐怖表演。我只使用 Tomcat 进行本地开发。它从来没有让我失望,但这几乎不是生产经验。我不知道它是如何扩展的。
我会仔细考虑基于Tomcat、Spring和OSGi的Spring的dm Server。我有一种感觉,它代表了所有竞争对手将采取的 future 方向。
关于java - Tomcat 与 WebSphere 与 WebLogic 的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/362665/