SpringSecurity手动忽略双斜杠校验//以及修改Jar包内源码

最新推荐文章于 2024-03-28 00:17:06 发布
最新推荐文章于 2024-03-28 00:17:06 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: SpringBoot SpringBoot使用说明书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/damionew/article/details/87339208
版权

问题描述:SpringBoot项目中,想修改SpringSecurity中某个jar包内源码

这里是要解决SpringSecurity验证请求中使用双斜杠 // 不符合规范的问题

将return false 修改为 return true

内网服务器部署了一个Tomcat项目,使用Nginx映射到外网服务器时,出现配置问题:test/login 变成了 test//login

SpringSecurity框架会进行拦截从而报错:

 The request was rejected because the URL was not normalized.

2019-02-15 09:06:11.677 ERROR 4712 --- [nio-8080-exec-1] o.a.c.c.C.[Tomcat].[localhost]           : Exception Processing ErrorPage[errorCode=0, location=/error]

org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.
	at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:253) ~[classes/:5.0.6.RELEASE]
	at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:194) ~[spring-security-web-5.0.6.RELEASE.jar:5.0.6.RELEASE]
	at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:178) ~[spring-security-web-5.0.6.RELEASE.jar:5.0.6.RELEASE]
	at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:357) ~[spring-web-5.0.7.RELEASE.jar:5.0.7.RELEASE]
	at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:270) ~[spring-web-5.0.7.RELEASE.jar:5.0.7.RELEASE]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193) ~[tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166) ~[tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.ApplicationDispatcher.invoke(ApplicationDispatcher.java:728) ~[tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.ApplicationDispatcher.processRequest(ApplicationDispatcher.java:472) ~[tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.ApplicationDispatcher.doForward(ApplicationDispatcher.java:395) ~[tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.ApplicationDispatcher.forward(ApplicationDispatcher.java:316) ~[tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.StandardHostValve.custom(StandardHostValve.java:395) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.StandardHostValve.status(StandardHostValve.java:254) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.StandardHostValve.throwable(StandardHostValve.java:349) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:175) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:81) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:87) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:342) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:803) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:790) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1468) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) [na:1.8.0_144]
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624) [na:1.8.0_144]
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-embed-core-8.5.31.jar:8.5.31]
	at java.lang.Thread.run(Thread.java:748) [na:1.8.0_144]

 

解决方式:将SpringSecurity中StrictHttpFirewall.java中请求验证修改,具体方式是将jar包反编译导出为java文件进行修改并放入源码中

解决过程:

1.导出jar包并修改

将class文件所在的包进行反编译导出

然后会导出一个压缩包,解压进行修改

此时这里为java文件

修改后,将其他不用的java文件删除,注意保留FirewalledResponse.java文件,否则将报错:

Caused by: java.lang.IllegalAccessError: org/springframework/security/web/firewall/FirewalledResponse

2.放入源码中

此处源码指自己写的代码,源码的优先级比jar包要高,故将

org文件夹放入项目Java目录中

这样就能覆盖Jar包中的两个文件,也算是修改了源码了!

Damionew
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 4.0.0所需jar包
08-29
使用springsecurity做权限管理时,必须要有的jar,当然有些可以不用,你可以按需加入你的项目 @最美最好的你 vx: dengqun2011
springboot如何忽略url大小写呢?
qq_25073223的博客
11-20 726
springboot忽略url大小写的方法分享
记录若依框架遇到的问题
最新发布
LIMIT_M的博客
03-28 180
解决方法:去到ruoyi_admin里的application.yml,将你的包名添加上去。原因是我的包名不是com.ruoyi导致识别不到。
爆破专栏丨SpringBoot2.x系列教程之对URL路径规则的特殊匹配实现方案
关注我!带你一路 "狂飙" 到底!
12-24 5344
前言 在前面的章节中,壹哥 带大家对JSON进行了序列化和反序列化的特殊处理,但是我们开发时,不仅仅JSON需要特殊处理,有时候就连我们的URL接口地址中也有需要特殊处理的地方。 比如,在一个URL中,“.” 字符一般是作为分隔符来定义格式的,例如/projects/spring-boot.json中的 “点” ,那么如果在URL带有这个 ”.“,我们要不要做特殊的处理呢? 另外有的人在访问URL时,可能会在尾部带有一个”/“,如果我们想识别URL路径尾部的斜杠,如“/home/”中的第2个 “/”,
【解决】SpringBoot使用Security拦截斜杠请求导致重定向过多的问题
Damionew的博客
02-15 6357
问题描述:在上篇文章中,SpringSecurity拦截 // 导致报错 url 请求不合规范问题通过修改Security源码已解决, 但是又因为许多静态文件也带有 // 进行请求:test//test.css等,导致重定向次数过多 问题解决:使用拦截器对所有请求进行拦截,对 request 请求中的 url 进行重写 此处参考 spring security关于URL中包含斜杠被权限拦截...
springboot2.2.x项目增加特殊字符拦截器
weixin_43434961的博客
07-22 920
应测试的要求,对所有带特殊字符的URL进行拦截,这里写了一个拦截器 1、拦截特殊字符,设置拦截的正则表达式,这里拦截<>\"“”*这些特殊字符 String SPECIALS_REG = "[><\\”\\“\"\\\\*]{1,}"; 2、判断URL中是否有特殊字符 public static boolean checkSpecials(HttpServletRequest request){ try { String urls = request.getQu
SpringSecurity防火墙问题,提示url中出现了“//“拒绝请求
zyggangguigui的博客
02-20 1702
SpringSecurity防火墙拦截url请求,"//"具有潜在的威胁,拒绝请求 org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "//"
[想要访问若依后台]若依框架报错401请求访问:error认证失败,无法访问系统资源
热门推荐
Xmumu_的博客
08-03 1万+
[想要访问若依后台]若依框架报错401请求访问:error认证失败,无法访问系统资源
Springboot 请求路径中出现 \\ 问题
凌霄
07-07 460
Springboot 请求路径中出现 \ 问题,
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because
二掌柜
12-18 1861
org.springframework.security.web.firewall.RequestRejectedException:请求被拒绝,因为URL未规范化 ps:可能前台请求多加/了 解决方法:` //允许多请求地址多加斜杠 比如 /msg/list //msg/list - @Bean public HttpFirewall httpFirewall() { return new DefaultHttpFirewall(); } ` ...
4.若依框架上传文件
qq_27860623的博客
08-24 3652
若依框架上传文件。
SpringSecurity源码 SpringSecurity jar包 简单的Demo
12-18
SpringSecurity源码 jar包 简单的入门Demo
spring3及springsecurity3.1源码jar包
01-24
非常完整的spring3及springsecurity3.1源码jar包 spring3及springsecurity3.1源码jar包,导入eclipse将各个工程下的jar包分别加入buildpath就可以用了
Spring-security4.2官方整合jar包
06-05
Spring-security4.2官方整合jar包,从官网下载整合出来的,其中还有demo示例与文档,包括了spring-security-core-4.2.2.RELEASE.jar,spring-security-web-4.2.2.RELEASE.jar等jar包。不想到官网找就可以在这里直接...
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
springboot报错!!!
weixin_47356044的博客
05-26 827
点击运行springboot,再在浏览器访问路径的时候,报错!!! 运行结果出来了,但是再结束的时候报错。 springboot报错java.lang.NoSuchMethodError: javax.servlet.http.HttpServletRequest.getHttpServletMapping : Exception Processing ErrorPage[errorCode=0, location=/error] java.lang.NoSuchMethodError: javax.s
使用若依框架的springboot项目中的上传功能
bob_bob1的博客
07-04 5687
上传功能随笔 上传功能 在自己写的借助于“若依”框架的springboot项目中,写上传下载功能,想记录一下,所以有了此篇文章。 1. 配置文件filePath.properties ##文件上传路径 // 定义文件上传路径 D:\\ 此为路径,可根据自己需求修改 file.fileUploadPath=D:\\AA\\bankCardService 2. 实体类 ##定义上传FileUploadProp实体类 package com.cn.web.prop; import org.springfram
【错误处理】上传文件出错returned a response status of 405 Method Not Allowed,400
Elltor
04-11 960
returned a response status of 405 Method Not Allowed,400 消息 Request processing failed; nested exception is com.sun.jersey.api.client.UniformInterfaceException: PUT Request processing failed; nested exception is com.sun.jersey.api.client.UniformInterf
springboot2.6+升级后的踩坑说明
weixin_50989469的博客
05-19 1436
踩坑一:springboot2.6+路径匹配多斜杠"/"报错 项目升级之后,会发现之前的不规范路径会报错。例如:http://localhost:8080/hello访问是正常的,http://localhost:8080//hello访问就会报错,主要原因是springboot升级2.6+之后更加严谨了,url默认标准为严格匹配 踩坑二:springboot2.6+中文资源名称无法访问 还有一个坑,就是之前通过addResourceHandlers方法设置文件的访问路径映射,中文路径读取不到了。例如:通过
org/springframework/security/oauth2/jwt/ReactiveJwtDecoder has been compiled by a more recent version
09-29
org/springframework/security/oauth2/jwt/ReactiveJwtDecoder has been compiled by a more recent version of the Java Runtime (class file version 61.0), this version of the Java Runtime only recognizes ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值