场景
安全人员提出:druid监控页未授权访问漏洞。
http://ip:port/druid/login.html
可以看到druid的信息。
解决方案
一般来说有两种方案:
1、页面可以展示,但是肯定不能让任何人都看到。所以需要登录账户和密码。
2、页面禁用掉,不对外展示。
方案一
添加如下代码即可:
@Bean
public ServletRegistrationBean druidStatViewServlet() {
ServletRegistrationBean registrationBean = new ServletRegistrationBean(new StatViewServlet(), "/druid/*");
registrationBean.addInitParameter("loginUsername", "zhangsan");
registrationBean.addInitParameter("loginPassword", "zhangsan1234");
registrationBean.addInitParameter("resetEnable", "false");
return registrationBean;
}
方案二
添加如下配置(未经验证,仅供参考)。
spring.druid.web-stat-filter.enabled=false
spring.druid.stat-view-servlet.enabled=false
spring.druid.filter.stat.enabled=false