La exposición de una instancia de Solr al público en Internet es una mala idea. Aunque puede quitar algunos componentes para hacerlo de solo lectura, simplemente no se diseñó teniendo en cuenta la seguridad, sino que se debe usar como un servicio interno, del mismo modo que no se expondría un RDBMS.
Desde el Solr Security wiki page:
En primer lugar, Solr no lo hace ocuparse de la seguridad, ya sea en el nivel documento o el nivel comunicación. Es fuertemente recomendó que el servidor de aplicaciones que contiene Solr ser un cortafuegos los únicos clientes que tienen acceso a este tipo de Solr son el suyo propio. Una instalación predeterminada/ejemplo de Solr permite que cualquier cliente con acceso a ella para agregar, actualizar y eliminar documentos (y por supuesto búsqueda/lectura también), incluido el acceso a la configuración Solr y esquema archivos y la administración usuario interfaz.
Incluso ajax-solr, un cliente Solr JavaScript pensado para funcionar en un navegador, recommends talking to Solr through a proxy.
Tomemos por ejemplo guardian.co.uk: es bien sabido que they use Solr for searching, pero se construyó un API para que los demás acceder a su contenido. De esta forma pueden define y control exactamente qué y cómo quieren que las personas busquen cosas.
lo contrario, cualquier script kiddie puede escribir un bucle trivial para la instancia de DoS Solr y por lo tanto reducir su sitio.
¿por qué dices que "mucha gente abre sus servidores Solr a otros desarrolladores"? –
Bueno, dije que * imaginé * que sí.Supongamos que tiene un sitio con mucho contenido, ya está utilizando Solr para conducir la búsqueda del sitio, y desea que otros sitios puedan buscar su contenido. En lugar de crear una API personalizada, Solr podría hacerlo mucho más simple ... – wynz