spring 警告ResourceHttpRequestHandler : Path contains ..after call to StringUtils#cleanPath

最新推荐文章于 2023-11-23 21:05:17 发布
最新推荐文章于 2023-11-23 21:05:17 发布
阅读量2k 收藏 1
点赞数
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hvang1988/article/details/122230143
版权

 spring webmvc模块日志提示警告,有人漏洞攻击,警告如下:

o.s.w.s.r.ResourceHttpRequestHandler : Path contains "../" after call to StringUtils#cleanPath: [../../../../../..

看到如上提示,那我们使用spring webmvc模块(比如springboot)的服务器是否有攻破?

分析:

webmv地址映射大概分两类,一类是自定义的handler(@Controller),一类是文件。

../这种只作用于后者。spring mvc会先从后者找资源,找不到再从前者找

1、spring webmvc 对地址会经过一系列解析

上边的警告是解析过程中,若解析清理后的路径 仍然含有../则识别为不合法路径

springmvc 支持 /a/b/../b 等同 /a/b,解析前允许有../但解析后还有../则不合法,

如上警告,请求结束。

2、若解析通过,则最终的文件会通过 java classloader.getResource 在上下文路径中,

spring webmvc会指定路径到上下文中比如META-INF\resources\static ,指定后就可以找到。

找不到的文件通过controller地址映射,handler映射也不到就走/error结束。

3、总结:出现如上警告,说明webmvc拦截了,服务安全无需处理。

hvang1988
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
Spring StringUtils#cleanPath method 浅析
别岸 的专栏
01-16 4147
Spring version:  1.2.6.Function: To erase any ./ or ../ in a path.Note:  Windows separators ("/") are replaced by simple dashes(/). /**  * Normalize the path by suppressing sequences lik
Spring MVC : ResourceHttpRequestHandler
Details Inside Spring
08-14 1万+
概述 ResourceHttpRequestHandler是一个HttpRequestHandler实现类,用于处理静态资源请求。 配置例子 : @Configuration public class WebMvcConfig implements WebMvcConfigurer { /** * 静态资源文件映射配置 * @param registry *...
随笔记录-springmvc_ResourceHandlerRegistry+ResourceHttpRequestHandler
最新发布
XIYECODE的博客
11-23 1296
记录springboot读取静态资源
记录一下,关于Spring Boot在写web时初次加载jsp的一个坑。(Path with "WEB-INF" or "META-INF": [WEB-INF/pages/login.jsp])
灬宝宝丶的专栏
03-13 9741
刚开始接触SpringBoot ; 所用编辑器为:IDEA; 想用SpringBoot创建web工程,第一步就遇到了坑,具体如下: 添加webapp文件夹,创建目录/WEB-INF/pages/,将jsp文件放入下方; 在application.yml文件中配置: spring: mvc: view: prefix: /WEB-INF/pages/ ...
Path with “WEB-INF“ or “META-INF“: [webapp/WEB-INF/NewFile.html]
qq 117791303
11-04 399
Path with “WEB-INF“ or “META-INF“: [webapp/WEB-INF/NewFile.html]
org.apache.commons.lang3.StringUtils.jar.rar
05-23
在给定的标题 "org.apache.commons.lang3.StringUtils.jar.rar" 中,我们可以看到这个压缩包包含的是 `StringUtils.jar`,实际上它是一个 `common-lang3.jar` 文件的别名。这个 JAR 包是 Apache Commons Lang 项目的...
org.apache.commons.lang3.StringUtils.jar
12-09
java获取客户端ip(经过多次代理)提示StringUtils cannot be resolved 需要先 import org.apache.commons.lang3.StringUtils; /* 内含 common-lang3.jar commons-lang3-3.9-bin.zip commons-lang3-3.9-src.zip ...
commons-lang3-3.1jar:org.apache.commons.lang3.StringUtils等.
03-26
`org.apache.commons.lang3.StringUtils`是Lang包中的一个关键类,它提供了大量与字符串操作相关的静态方法。这些方法涵盖了字符串的检查、比较、转换、格式化以及分割等常见任务。例如: 1. `isEmpty()`:检查字符...
详解SpringStringUtils踩坑记录
08-25
Spring StringUtils踩坑记录详解 Spring框架的StringUtils工具类是Java开发中常用的工具之一,但是如果不正确地使用StringUtils,可能会导致一些意外的问题。在本文中,我们将通过一个实践案例,详解Spring的...
org.apache.commons.lang jar下载
09-15
1. **字符串操作**: Commons Lang 提供了 `StringUtils` 类,它包含了一系列静态方法,用于执行复杂的字符串操作,如空白字符处理、分割、连接、替换、比较等,这些方法比Java内置的String类功能更加强大。...
springboot学习
qq_45315391的博客
03-19 1681
SpringBoot入门 1,SpringBoot简介 简化spring应用的开发约定大于配置 优点:1,快速创建独立运行的spring项目 ​ 2,使用嵌入式的servlet容器,无需打包成war包 ​ 3,starter自定依赖和版本控制 ​ 4,大量的自动配置,简化开发 ​ 5,无需XML配置,无代码生成 ​ 6,生成环境的运行时监控 ​ 7,与云计算天然集成 缺点:入门简单,深入难 是整个...
Spring Boot 中文参考指南(二)-Web
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
03-13 2818
跟其他的静态资源一样,Spring Boot 会在配置的静态内容位置检查,如果存在这样的文件,它会自动用作应用程序的图标。如果要显示一个给定状态码的自定义HTML错误页,可以将文件添加到/error目录。错误页面可以是静态HTML(即,添加到任何静态资源目录下)或者使用模版构建,文件名应该是确切状态代码或序列掩码。src/+- main/+- java/+- public/+- error/src/+- main/+- java/+- error/对于更复杂的映射,可以添加实现。
java httprequesthandler_Spring-webmvc源码解析之ResourceHttpRequestHandler
weixin_28842367的博客
03-02 968
基于4.1.7.RELEASE该类继承了WebContentGenerator,WebContentGenerator可以对response进行设置header,设置缓存时间等操作,并且提供了对request的method的检查功能。ResourceHttpRequestHandler 在xml文件中的配置方法当spring检测到这样的配置,启动时会在SimpleUrlHandlerMapping...
spring 拦截器请求类型异常.servlet.resource.ResourceHttpRequestHandler cannot be cast to .method.HandlerMethod
平凡之路无尽路的博客
08-19 6991
目录 自定义SpringMVC拦截器中HandlerMethod类型转换问题调研 摘要 问题 分析 方案 方案一:修改springMVC拦截器配置 方案二:检查内置tomcat配置 二次分析:先搞清楚问题究竟在哪儿 第一个断点 第二个断点 context-path 方案三:指定context-path 补充 总结 自定义SpringMVC拦截器中HandlerMethod类型转换问题调研 摘要 在将a模块迁移到spring boot项目下、使用embeded tomc.
Spring boot 2.0 版本报错 ResourceHttpRequestHandler cannot be cast to HandlerMethod
她们都叫我靓仔
01-15 2936
报错: java.lang.ClassCastException: org.springframework.web.servlet.resource.ResourceHttpRequestHandler cannot be cast to org.springframework.web.method.HandlerMethod 原因就在于,Spring boot 2.0对静态资...
es7~es11相关知识
acm_cn1234567890的博客
09-07 269
1. es7新特性 (1). Array.prototype.includes 数组的includes(value)方法,用来检测数组中是否包含某个元素,返回布尔值。 const aa = ["张颜齐","段宜恩","郑秀晶"]; console.log(aa.includes("张颜齐"));//true (2). [**]用来实现幂运算 [**]与Math.pow()是一样的。 console.log(2 ** 10);//1024 Math.pow(2,10); 2. es8新特新 (1).Ob
SpringBoot 项目异常总结 最全SpringBoot项目异常汇总
热门推荐
Snails的博客
09-05 1万+
SpringBoot 错误总结 (累计35个常见错误)(持续更新…) 1.新建Spring boot,出现src的包上出现错误的叉号: 分析原因: 你要更新一下选择项目-----Maven----Updata project,或者删除jar包—Libraries—Maven Dependencies,然后重新关闭eclipse,重新启动! 2.如果你项目与别人一样,怎么试都不行,还是报错,或者其它问题: 记住一句话,小问题重启,大问题重装! 3.启动时出现警告: 分析原因: 项目目录设计错误 applica
spring boot+jsp
siyi__的博客
04-11 666
刚开始接触SpringBoot ; 所用编辑器为:IDEA; 想用SpringBoot创建web工程,第一步就遇到了坑,具体如下: 添加webapp文件夹,创建目录/WEB-INF/pages/,将jsp文件放入下方; 在application.yml文件中配置: spring: mvc: view: prefix: /WEB-INF/pages/ s...
springboot 加载外部配置文件
weixin_34117522的博客
08-09 423
开发springboot应用时经常有多个配置文件,开发的,测试的,生产环境的。 而生产环境的敏感数据又不希望泄露出去,所有想看看springboot有没有办法加载外部文件的办法。因为springboot 默认加载配置文件的位置是 classpath:/,classpath:/config/,file:./,file:./config/ 打包jar运行也不...
Path contains "../" after call to StringUtils#cleanPath: [AccessAnywhere/..\..\..\..\..\..\..\..\..\..\windows\win.ini]
08-23
当调用StringUtils#cleanPath方法时,路径中包含"../"。 这个问题可能是由于路径遍历攻击导致的,攻击者试图通过在路径中添加"../"来访问文件系统的敏感文件。在这种情况下,应该对路径进行安全验证,确保只允许访问允许的文件和目录。 在Spring WebMVC中,会将路径映射到上下文中的资源文件夹,比如META-INF\resources\static。 这样,当我们请求这个路径时,可以找到对应的资源文件。 最终,解析后的文件会通过java classloader.getResource方法在上下文路径中找到。 这个方法可以根据给定的路径查找资源文件,如果存在则返回对应的URL。 综上所述,当调用StringUtils#cleanPath方法时,路径中包含"../"。为了确保安全,应该对路径进行验证,并且通过Spring WebMVC将请求映射到正确的资源文件夹中。最终,可以使用java classloader.getResource方法来获取对应的资源文件。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [spring 警告ResourceHttpRequestHandler : Path contains ..after call to StringUtils#cleanPath](https://blog.csdn.net/hvang1988/article/details/122230143)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hvang1988

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值