Web Application Proxy是YARN的一部分。默认情况下它会作为Resource Manager(RM)的一部分运行,但是可以配置为独立运行的模式。Proxy的意义是减少通过YARN的网络攻击的可能性。
在YARN中,Application Master(AM)有责任提供Web UI并将该链接发送至RM。这带来了一些潜在的问题——RM作为一个可信任的用户运行,人们信任正在访问的RM的web地址,以及它提供的链接,但是当AM运行在一个非受信的用户,而且给到RM的链接可能指向恶意的东西。Web Application Proxy通过警告不是特定application属主的用户,他们正在链接到一个非受信的站点,以此来降低风险。
另外,proxy还尝试减少恶意AM对用户的影响。它首先将cookie剥离,并替换为一个简单cookie,只提供登录的用户的username,这是因为多数基于web的认证系统会以cookie为基础标识用户。提供cookie到一个非受信的application,会带来潜在的攻击漏洞。如果cookie设计合理,潜在的危险会相当少,但是这只是减少了潜在攻击的可能性。目前proxy的实现方案没有阻止AM提供链接到外部恶意站点的链接,也没有做任何工作来阻止恶意javascript代码运行。事实上,javascript可以被用来获取cookies,所以从request中剥离coookie也会在这时受益.
在将来我们希望解决上述漏洞攻击,以让AM的web UI更安全。