shiro升级为1.7后, 静态文件包含中文请求不到

最新推荐文章于 2023-09-13 10:38:37 发布
最新推荐文章于 2023-09-13 10:38:37 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: shiro java 文章标签: shiro java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongyan3595/article/details/118577368
版权
java 同时被 2 个专栏收录
58 篇文章 2 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

自定义CustomShiroFilterFactoryBean继承ShiroFilterFactoryBean

package com.cm.interceptor.shiro;

import java.util.Map;
import javax.servlet.Filter;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.InvalidRequestFilter;
import org.apache.shiro.web.filter.mgt.DefaultFilter;
import org.apache.shiro.web.filter.mgt.FilterChainManager;

public class CustomShiroFilterFactoryBean extends ShiroFilterFactoryBean {
  
    @Override
    protected FilterChainManager createFilterChainManager() {
        FilterChainManager manager = super.createFilterChainManager();
        // URL携带中文400,servletPath中文校验bug
        Map<String, Filter> filterMap = manager.getFilters();
        Filter invalidRequestFilter = filterMap.get(DefaultFilter.invalidRequest.name());
        if (invalidRequestFilter instanceof InvalidRequestFilter) {
            ((InvalidRequestFilter) invalidRequestFilter).setBlockNonAscii(false);
        }
        return manager;
    }
}

修改配置文件

   <!-- Shiro Filter -->
   <bean id="shiroFilter" class="com.cm.interceptor.shiro.CustomShiroFilterFactoryBean">
   
   <property name="securityManager" ref="securityManager" />
  
   <property name="loginUrl" value="/" />
   
   <property name="successUrl" value="/main/index" />
   
   <property name="unauthorizedUrl" value="/login_toLogin" />
   
   <property name="filterChainDefinitions">
    <value>
        /index.jsp                   = anon
        /index                       = anon
        /plugins/**                  = anon
        /static/**                   = anon
        /ueditor/**                  = anon
        /uploadFiles/**              = anon
        /uploadFiles/files/**        = anon
        /code.do                     = anon
        /login_login                 = anon
        /login_toLogin               = anon
        /OfficeServer                = anon
        /app**/**                    = anon
        /weixin/**/**                = anon
        /**                          = authc
    </value>
   </property>
  </bean>

会飞的哈士奇
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Shiro中拦截器Filter的坑
temie的博客
07-19 203
(第一坑)两个拦截器但是只生效了一个? 写了两个过滤器 //过滤器1 重写重定向login.jsp页面 class LoginFilter extends UserFilter{ @Override protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException { response.setContentType("application/
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_
10-01
这是最新版本的源码,但我不会打包jar包,谁有能力转一下吧
shiro最新版本 1.6.0登录bug修复
m0_67391120的博客
04-07 1376
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。但实际升级后,使用中发现第一次打开浏览器访问时会出现Invalid request。具体错误提示如下: 降级到1.4.2时是可以正常登录的,反复试验几次,确定是升级shiro版本引起,阅读shiro 1.6.0源码,发现shiro引入了InvalidRequestFilter过滤器,目的是验证url上是否有恶意伪造的特殊字符。但这个类也正好将登录url拼接的 ;jsessionId=xxx 也一起拦截了,结果就出现了上图中的错
springboot shiro升级请求路径URL path传中文参数报400invalid reqeust
最新发布
weixin_52472152的博客
09-13 841
将项目中的fhiro升级后发现通过url path传中文的所有请求都报400 invalid reqeust错误。1、ShiroConfig类增加InvalidRequestFilter Bean。2、修改shiro过滤器配置Bean增加。3、重启应用,问题解决。完整的过滤器配置如下。
Shiro (http:/xxxxx/;JSESSIONID=xxxx) InvalidRequestFilter 400无法跳转到登录页问题
t0m的专栏
05-27 2272
shiro: 1.6 spring: 5.2 访问:http://localhost:8080/demo/;JSESSIONID=655def62-75b3-4ab1-ae27-b7d0e42c431a时, 出现400错误页面,无法跳转到登录页。 当浏览器本地cookie禁用或者部分链接跳转时,会默认加上 ;JSESSIONID= 参数传递cookie中存储的sessionId, 后端Filter过滤器会首先尝试从cookie中获取sessionId,获取不到时尝试解析uri连接(;/JSESSIO.
shiro1.6升级1.7后的问题处理
热门推荐
qq_35598240的博客
11-29 1万+
由于shiro1.6出现了安全漏洞,需要进行1.7升级 问题描述 进行升级后有个url突然访问不了,HTTP返回了400,Invaild Request。 接收的URL为 xxx/detail/{name}。 前端传递的地址为 xxx%2fdetail%2f%e6%88%bf%e4%ba%a7(带有中文,已用URL编码) 思路 看到HTTP响应400,我在想是前端参数出了什么问题吗?还是后台接收参数改动了吗? 看了git记录,这边没人改动,那这就很灵性了,只能通过调试找出哪个地方访问了400了,我
shiro1.3升级1.7遇到重定向登录页面时报400错误
u011017880的专栏
03-04 2007
因为项目单点登录的需求,对原项目进行单点登录改造,对shiro 进行升级,由原1.3升级1.7,原代码未做任何改动,登录重定向报400,但直接访问登录页正常,两者差异在于url增加自带参数jsessionid,导致400,改配置文件即可,代码如下: <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="sessionI
authc过滤器 shiro_shiro笔记 【四】
weixin_39690391的博客
11-20 260
shiro笔记 【三】public class MyIniWebEnvironment extends IniWebEnvironment { @Override protected FilterChainResolver createFilterChainResolver() { //在此处扩展自己的FilterChainResolver return s...
shiro从1.6.0升级1.7.1版本,请求路径中带有中文接口报400
weixin_43779793的博客
07-22 1353
shiro从1.6升级1.7请求路径中有中文接口报400
解决配置Shiro中文url请求报400的问题
m0_67391121的博客
04-12 1136
原因 来自Shiro的一个过滤器 具体信息和解决方法到我的这个博客看点此跳转
shiro文件 搭建攻防演练演示环境 解压后放入tomcat的webpass目录下即可
01-12
shiro文件 搭建攻防演练演示环境 解压后放入tomcat的webpass目录下即可 存在的漏洞就是shiro反序列化
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
SpringBoot整合shiro项目静态资源
08-23
SpringBoot整合shiro项目静态资源
shiro 升级到1.8,中文路径拦截问题解决
weixin_47678728的博客
08-03 315
在本次项目中之前使用 shiro1.4的版本,后来项目要求升级到1.8,在升级的过程中,发现带中文静态资源文件路径访问报400,去掉中文就正常访问。按程序来说,不带中文的路径其实是最好的,但很多要求中文下载路径,没办法,只能对代码进行修改。再去shiroConfig 配置文件中 ,把原先的 ShiroFilterFactoryBean 替换成我们刚新建的 CustomShiroFilterFactoryBean。建立自定义的shiroFilterFactoryBean 继承。
SpringBoot + shiro 导致通过ResourceHandlerRegistry配置的静态资源中文名称无法访问原因
每天进步一点就够了
12-25 2590
项目场景: 项目使用的springboot+shiro,出于其他原因考量,静态资源是直接使用的springboot 框架本身的ResourceHandlerRegistry来进行配置访问的,没有使用Nginx,Apache等 问题描述: 项目中的一些静态资源是通过配置ResourceHandlerRegistry来进行访问的,即通过复写WebMvcConfigurer,列如: @Slf4j @Configuration public class WebConfig implements WebMvcCo
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6663
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
Shiro升级1.7.x
m0_67393342的博客
03-28 784
升级步骤 原先的代码没有作修改,只是在pom.xml文件中引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
shiro配置不拦截的请求
06-10
Shiro 可以通过配置 `anon` 来实现不拦截的请求。具体来说,可以在 Shiro 配置文件中加入如下配置: ```xml <shiro> <filterChainDefinitions> <!-- 不拦截的请求 --> <value>/static/** = anon</value> <value>/login = anon</value> <!-- 其他请求则使用默认的拦截器链 --> <value>/** = authc</value> </filterChainDefinitions> </shiro> ``` 以上配置表示 `/static/**` 和 `/login` 请求不会被拦截,其他请求则使用默认的 `authc` 拦截器链。其中 `anon` 表示不需要认证和授权即可访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值