Shiro (http:/xxxxx/;JSESSIONID=xxxx) InvalidRequestFilter 400无法跳转到登录页问题

最新推荐文章于 2023-09-13 10:38:37 发布
最新推荐文章于 2023-09-13 10:38:37 发布
阅读量2.2k 收藏 3
点赞数 1
分类专栏: Java Spring 文章标签: shiro InvalidRequest 400
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fly_leopard/article/details/117326169
版权
Java 同时被 2 个专栏收录
48 篇文章 0 订阅
订阅专栏
Spring
39 篇文章 3 订阅
订阅专栏

shiro: 1.6

spring: 5.2

访问:http://localhost:8080/demo/;JSESSIONID=655def62-75b3-4ab1-ae27-b7d0e42c431a时, 出现400错误页面,无法跳转到登录页。

当浏览器本地cookie禁用或者部分链接跳转时,会默认加上 ;JSESSIONID=  参数传递cookie中存储的sessionId, 后端Filter过滤器会首先尝试从cookie中获取sessionId,获取不到时尝试解析uri连接(;/JSESSIONID=xxx)获取sessionId,再获取不到尝试从请求参数中获取。

正常情况下,访问该链接,若session过期,会自动跳转到登录页。

但是再shiro:1.6开始,新增了一个InvalidRequestFilter的过滤器,用于拦截存在安全问题的uri,该过滤器拦截三种类型的uri并返回400拒绝访问:(http://xxx/;JSESSIONID=xxx中存在分号)

public class InvalidRequestFilter extends AccessControlFilter {

    private static final List<String> SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));

    private static final List<String> BACKSLASH = Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));

    // 拦截uri地址中存在分号的请求
    private boolean blockSemicolon = true;
    // 拦截uri中存在反斜杠的请求
    private boolean blockBackslash = true;
    // 拦截uri中存在非ascii码的请求
    private boolean blockNonAscii = true;


    ....省略....


    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        String uri = WebUtils.toHttp(request).getRequestURI();
        return !containsSemicolon(uri)
            && !containsBackslash(uri)
            && !containsNonAsciiCharacters(uri);
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        WebUtils.toHttp(response).sendError(400, "Invalid request");
        return false;
    }
}

对于所有进来的请求,过滤器都会进行一次前置和后置判断,确认是否继续执行剩余未执行的过滤器。

AdviceFilter:

    public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        Exception exception = null;

        try {
            // 当请求uri被认为不合法是返回false
            boolean continueChain = preHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Invoked preHandle method.  Continuing chain?: [" + continueChain + "]");
            }

            if (continueChain) {
                executeChain(request, response, chain);
            }

            postHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Successfully invoked postHandle method");
            }

        } catch (Exception e) {
            exception = e;
        } finally {
            cleanup(request, response, exception);
        }
    }

preHandle方法最终实现再AccessControlFilter中:

    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        // 这两个方法就是InvalidRequestFilter中的方法,InvalidRequestFilter是AccessControlFilter的子类
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
    }

处理方法主要有三种:

1. xml配置覆盖默认的InvalidRequestFilter:  blockSemicolon设置为false

	<bean id="invalidRequestFilter" class="org.apache.shiro.web.filter.InvalidRequestFilter">
		<property name="blockSemicolon" value="false" />
	</bean>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
         ....省略...
		<property name="filters">
			<map>
                名字key要与默认(invalidRequest)的相同才能覆盖初始化时的InvalidRequestFilter
				<entry key="invalidRequest" value-ref="invalidRequestFilter" />
			</map>
		</property>
	</bean>

2. shiro降到1.6之前(或许1.6之后有改进,暂时没有关注)

3. 自定义ShiroFilter并设置setEnable(false) 将不在进行上述三种类型uri安全性拦截

mcatto
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
shiro登录/退出demo(web应用)
05-03
shiro登录/退出demo(web应用),使用eclipse、maven、jetty。运行点击项目右键maven build...,在Goals中填写 jetty:run 即可。
aun-Timo-master_springboot项目_基于timo项目_timo://alipay_Alipay_
10-03
TIMO后台管理系统,基于SpringBoot2.0 + Spring Data Jpa + Thymeleaf + Shiro 开发的后台管理系统,采用分模块的方式便于开发和维护,支持前后台模块分别部署,目前支持的功能有:权限管理、部门管理、字典管理、日志记录、文件上传、代码生成等,为快速开发后台系统而生的脚手架!
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
使用Shiro实现登录成功后跳转到之前的页面
09-01
主要介绍了如何使用Shiro实现不同用户登录成功后跳转到不同主,实现此功能目前比较好的方法是用ajax的方法登录,第二种方法是把用户未登录前的url存在session中,需要的朋友可以参考下
springboot shiro升级后请求路径URL path传中文参数报400invalid reqeust
最新发布
weixin_52472152的博客
09-13 801
将项目中的fhiro升级后发现通过url path传中文的所有请求都报400 invalid reqeust错误。1、ShiroConfig类增加InvalidRequestFilter Bean。2、修改shiro过滤器配置Bean增加。3、重启应用,问题解决。完整的过滤器配置如下。
SpringMVC+Shirojsessionid导致第一次访问请求时报400错误问题
一火的专栏
09-16 2229
【现象】 HTTP Status 400 – Bad Request TypeStatus Report MessageInvalid request DescriptionThe server cannot or will not process the request due to something that is perceived to be a client error (e.g., malformed request syntax, invalid request messag...
shiro1.6升级到1.7后的问题处理
qq_35598240的博客
11-29 1万+
由于shiro1.6出现了安全漏洞,需要进行1.7的升级 问题描述 进行升级后有个url突然访问不了,HTTP返回400,Invaild Request。 接收的URL为 xxx/detail/{name}。 前端传递的地址为 xxx%2fdetail%2f%e6%88%bf%e4%ba%a7(带有中文,已用URL编码) 思路 看到HTTP响应400,我在想是前端参数出了什么问题吗?还是后台接收参数改动了吗? 看了git记录,这边没人改动,那这就很灵性了,只能通过调试找出哪个地方访问了400了,我
shiro用authc配置后登录成功后不能跳转到index页面
Ydoing的专栏
10-01 1607
这两天发现一个问题,如题,尝试了很多方法,都没法解决,真是很郁闷。最后看源码才知道,我的配置如下。原意是从/api/user/login登录成功后,跳转到/index,但是怎么都不能跳转到/index。原来authc拦截器(即FormAuthenticationFilter),验证成功后只会跳转到最开始你进入的页面,因为我是从/api/user/login页面进入登录,所以只会跳转到/api/u...
解决Shiro第一次重定向url携带jsessionid问题
Ruanes的博客
09-05 2554
Shiro在进行第一次重定向时会在url后携带jsessionid,导致访问400。 实力有限,就不分析源码了,需要了解原因的可以查看ShiroHttpServletResponse类中encodeRedirectURL、encodeRedirectUrl、toEncoded等方法,直接说下解决办法 解决办法: 创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成false 再在DefaultWebSecurityMan
Session过期后自动跳转登录页面的实例代码
09-02
主要介绍了Session过期后自动跳转登录页面实例代码,非常不错具有参考借鉴价值,需要的朋友可以参考下
java8源码-ebe-shop:基于SpringBoot+Shiro+Layui构建的商城商店系统,演示地址:http://tysxquan
06-04
如果项目有帮助到你,可以点 "Star" 支持一下 谢谢! 如有问题请直接在 Issues 中提,或者您发现问题并有非常好的解决方案! 个人开发者不易维护,如有问题或建议可以加我QQ:1042951771 开发环境:IDE:IntelliJ IDEA...
shrio session过期跳转登录页面问题
飞龙在天的博客
07-15 6413
一般情况下 shiro在session过期,权限验证不通过都会跳转登录页面,但是我的项目中使用了easyui框架,跳转后并没有跳转登录页面,但是在页面查看网络请求确实跳转登录页面,但是页面并不加载,经过排查问题如下: 问题1:session失效没有跳转登录页面 1)排查shiro的配置文件登录设置正确 //如果不设置,默认自动寻找web工程根目录下的“login.jsp”页面 ...
shiro跳转successUrl的问题
wangshfa的专栏
08-12 4975
最近遇到shiro校验框架成功后不进行自动跳转到指定页面; 相关配置如下: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 bean id="shiroFilter" class="org.apache.shiro.sp
shiro 登录成功后 不跳转到 successUrl 的问题解决
houjunkai的博客
12-16 6004
1.重写 FormAuthenticationFilter 父类的  issueSuccessRedirect 方法 import javax.servlet.ServletRequest;                                                       import javax.servlet.ServletResponse;           
解决cas客户端地址栏中带jessionId刷新无法跳转到登陆问题
chen_bo526的博客
01-10 1816
一、问题出现 springboot项目中集成了cas,清除缓存,想要跳到登陆页面,但是由于地址栏中带有jessionId标识,导致无法正常跳转Jsessionid只是tomcat的对sessionid的叫法,其实就是sessionid;在其它的容器也许就不叫jsessionid了 原因: 首先这是一个保险措施 因为Session默认是需要Cookie支持的,但有些客户浏览器是关闭Cook...
Spring boot+Shiro身份认证失败返回JSON,不跳转页面
江湖人称小程的博客
09-12 6834
文章目录前言步骤1、重写FormAuthenticationFilter2、注册自定义过滤器 前言 shiro在进行身份认证时,如果失败了,默认会跳转到Web工程根目录下的"/login.jsp"页面,如果在配置类中配置了这句话: shiroFilterFactoryBean.setLoginUrl("/myLogin"); 认证失败后会跳转到setLoginUrl这个方法指定的路径中。 这里说...
shiro启动之后页面访问不了_java:shiro入门——4
weixin_39661780的博客
11-26 613
【7】测试【7.1】启动点击apply然后点击OK【7.2】登录过滤访问http://localhost:8080/platform/home的时候,会被【7.3】角色过滤使用“admin”用户登录,密码:123根据SecurityServiceImpl我们可以知道使用admin账号登录成功之后:此时点击“列表”,因为当前admin用户是有admin角色所有可以正常访问点击“添加”,因为当前adm...
Spring-Boot (二) application.properties配置文件内容
热门推荐
t0m的专栏
11-10 7万+
Spring-Boot官方开发指导文档 默认创建spring-boot项目后,会在resources目录下生成一个空的application.properties配置文件,springboot启动时加载该配置文件。 application.properties(或者application.yml)中包含系统属性、环境变量、命令参数这类信息。 下面简要说一部分spring-boot项目中a
org.apache.shiro.web.mgt.DefaultWebSecurityManager
06-09
org.apache.shiro.web.mgt.DefaultWebSecurityManager 是 Apache Shiro 框架中的一个默认实现的 Web 安全管理器。它实现了 WebSecurityManager 接口,并提供了一些默认的配置和实现,以便开发者可以直接使用它来管理应用程序中的安全性。 该 Web 安全管理器的主要作用是管理应用程序中的安全性,包括认证、授权等操作,并且可以通过配置多个 Realms 来支持不同的安全策略和身份认证方式。此外,它还支持多种安全组件,如 Session 管理器、RememberMe 管理器等,以提供完整的安全功能。 需要注意的是,该 Web 安全管理器并不是线程安全的,因此在多线程环境下需要进行合适的同步措施。同时,它还需要和其他 Web 组件(如 Servlet 容器、Filter 等)进行配合使用,以确保应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值