web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentia

已于 2022-08-15 14:42:45 修改
阅读量4k 收藏
点赞数 1
分类专栏: java 文章标签: 前端 java servlet
于 2019-12-18 20:17:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin_loving/article/details/103603998
版权

spring security 自带url 校验失败 因为请求的url不合法,但是对接方又不能修改,只能平台适配

org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "%2E"
    at org.springframework.security.web.firewall.StrictHttpFirewall.rejectedBlacklistedUrls(StrictHttpFirewall.java:265)
    at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:245)
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:193)
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:177)
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:347)
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:263)
    at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)
    at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131)
    at 
    at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)
    at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131)
    at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:197)
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
    at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)
    at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131)
    at org.springframework.boot.actuate.autoconfigure.MetricsFilter.doFilterInternal(MetricsFilter.java:100)
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
    at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61)
    at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131)
    at io.undertow.servlet.handlers.FilterHandler.handleRequest(FilterHandler.java:84)
    at io.undertow.servlet.handlers.security.ServletSecurityRoleHandler.handleRequest(ServletSecurityRoleHandler.java:62)
    at io.undertow.servlet.handlers.ServletChain$1.handleRequest(ServletChain.java:65)
    at io.undertow.servlet.handlers.ServletDispatchingHandler.handleRequest(ServletDispatchingHandler.java:36)
    at io.undertow.servlet.handlers.security.SSLInformationAssociationHandler.handleRequest(SSLInformationAssociationHandler.java:132)
    at io.undertow.servlet.handlers.security.ServletAuthenticationCallHandler.handleRequest(ServletAuthenticationCallHandler.java:57)
    at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
    at io.undertow.security.handlers.AbstractConfidentialityHandler.handleRequest(AbstractConfidentialityHandler.java:46)
    at io.undertow.servlet.handlers.security.ServletConfidentialityConstraintHandler.handleRequest(ServletConfidentialityConstraintHandler.java:64)
    at io.undertow.security.handlers.AuthenticationMechanismsHandler.handleRequest(AuthenticationMechanismsHandler.java:60)
    at io.undertow.servlet.handlers.security.CachedAuthenticatedSessionHandler.handleRequest(CachedAuthenticatedSessionHandler.java:77)
    at io.undertow.security.handlers.AbstractSecurityContextAssociationHandler.handleRequest(AbstractSecurityContextAssociationHandler.java:43)
    at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
    at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)
    at io.undertow.servlet.handlers.ServletInitialHandler.handleFirstRequest(ServletInitialHandler.java:292)
    at io.undertow.servlet.handlers.ServletInitialHandler.access$100(ServletInitialHandler.java:81)
    at io.undertow.servlet.handlers.ServletInitialHandler$2.call(ServletInitialHandler.java:138)
    at io.undertow.servlet.handlers.ServletInitialHandler$2.call(ServletInitialHandler.java:135)
    at io.undertow.servlet.core.ServletRequestContextThreadSetupAction$1.call(ServletRequestContextThreadSetupAction.java:48)
    at io.undertow.servlet.core.ContextClassLoaderSetupAction$1.call(ContextClassLoaderSetupAction.java:43)
    at io.undertow.servlet.handlers.ServletInitialHandler.dispatchRequest(ServletInitialHandler.java:272)
    at io.undertow.servlet.handlers.ServletInitialHandler.access$000(ServletInitialHandler.java:81)
    at io.undertow.servlet.handlers.ServletInitialHandler$1.handleRequest(ServletInitialHandler.java:104)
    at io.undertow.server.Connectors.executeRootHandler(Connectors.java:336)
    at io.undertow.server.HttpServerExchange$1.run(HttpServerExchange.java:830)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
    at java.lang.Thread.run(Thread.java:748)

解决方法

在对应请求在对过滤链进行放行处理

@Configuration
@EnableWebMvc
public  class WebConfig extends WebMvcConfigurerAdapter {


    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
//将所有/static/** 访问都映射到classpath:/static/ 目录下
        registry.addResourceHandler("/**").addResourceLocations("classpath:/static/");
        registry.addResourceHandler("/swagger-ui.html").addResourceLocations("classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/");
        registry.addResourceHandler("/update/**").addResourceLocations("classpath:/update/");
    }


    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        MappingJackson2HttpMessageConverter converter = new MappingJackson2HttpMessageConverter();

        ObjectMapper mapper = new ObjectMapper();
        mapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
        mapper.setDateFormat(new SimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss.SSSXXX"));
        converter.setObjectMapper(mapper);
        converters.add(converter);
    }


    @Bean
    public ViewResolver getViewResolver(){
        InternalResourceViewResolver resolver = new InternalResourceViewResolver();
        resolver.setPrefix("/static/");
        resolver.setSuffix(".html");
        return resolver;
    }

    @Bean
    public FilterRegistrationBean myUpdateFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new MyUpdateFilter());
        registration.addUrlPatterns("/*");
        registration.addUrlPatterns();
        registration.setName("myUpdateFilter");
        registration.setOrder(-102);
        return registration;
    }


}

public class MyUpdateFilter implements Filter {

    private KikGaLogger log = LogUtil.get();

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)throws IOException, ServletException {
        final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final HttpServletResponse response = (HttpServletResponse) servletResponse;
        String servletPath = request.getServletPath();
        //update下载
        if (StringUtils.isNotBlank(servletPath) && servletPath.contains("/update/")) {
            log.info("MyUpdateFilter filter:" + servletPath);
            skipFilter(filterChain);
        }
        filterChain.doFilter(servletRequest, servletResponse);

    }

    @Override
    public void destroy() {

    }
    /**
     * 方法名称:skipFilter
     * 方法描述:跳过filter()
     * 返回值描述:
     */
    private void skipFilter(FilterChain chain) {
        try {
            Field field = chain.getClass().getDeclaredField("filters");
            field.setAccessible(true);
            List<ManagedFilter> filters = (List<ManagedFilter>) field.get(chain);
            int k = 0;
            Iterator<ManagedFilter> iterators = filters.iterator();
            while (iterators.hasNext()){
                ManagedFilter filter = iterators.next();
                if (filter==null) {
                    continue;
                }
                String name = filter.getFilterInfo().getName();
                //cas过滤
                if(name.contains("cas")||name.contains("Security")){
                    iterators.remove();
                }
            }
            //field.set("filters",filters);
            field.setAccessible(false);
        } catch (Exception e) {
            log.error("skipFilter error",e);
        }
    }

}

kevin_loving
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rc.firewall.rar_firewall
09-20
configur&#231 &#227 oes do iptables firewall para grandes e pequenas empresas
在使用 spring security 时,请求的地址栏使用 “//”的情况是后台报错处理方法
江南山水电
12-05 8496
在使用 spring security 时,请求的地址栏使用 “//”的情况是后台报如下错误: org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "/...
laravel-firewall:用于Laravel的Web应用程序防火墙(WAF)软件包
04-29
用于Laravel的Web应用程序防火墙(WAF)软件包 该软件包旨在保护您的Laravel应用免受各种类型的攻击,例如XSS,SQLi,RFI,LFI,用户代理等。 当检测到攻击时,它还将阻止重复的攻击并通过电子邮件和/或闲置发送通知。 此外,它将尝试登录失败并记录IP地址。 注意:一些中间件类(例如Xss)为空,因为它们扩展的Middleware抽象类可以动态完成所有工作。 简而言之,它们都有效;) 入门 1.安装 运行以下命令: composer require akaunting/laravel-firewall 2.注册(Laravel <5.5) 在config/app.php注册服务提供商 Akaunting \ Firewall \ Provider ::class, 3.发布 发布配置,语言和迁移 php artisan vendor:publish --tag=
Firewall.wixext:WixToolset.Firewall.wixext-防火墙WiX工具集扩展
02-24
Firewall.wixext WixToolset.Firewall.wixext-防火墙WiX工具集扩展
Spring全家桶-Spring Security之会话管理
HQ DevJ的专栏
05-25 1097
Spring全家桶-Spring Security之会话管理 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security之会话管理前言一、Session是
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because
热门推荐
u013430054的博客
04-22 1万+
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "%3B"org.springframework.security.web.firewall.Req...
SpringBoot中SpringSecurity 报错:org.springframework.security.web.firewall.RequestRejectedException
一个简单的描述,我想你不会感兴趣的
08-04 3880
根据报错org.springframework.security.web.firewall.RequestRejectedException中的信息分析错误
The request was rejected because the URL contained a potentially malicious String “;“问题的正确解决姿势
Ajekseg的博客
07-31 6393
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。,SpringSecurity会在Cookie中存一个信息,标记一为一个。是非常危险的举动,可能导致会话固定攻击,因此不建议上述的行为。...
sct.rar_The Network_content firewall
09-24
对防火墙中的数据包进行协议还原,检测网络数据包的原始内容The firewall in the agreement to restore the packets to detect network packets of the original content
udp.rar_The Number
09-19
Keeps track of the number of DNS requests. Used to implement the firewall option that restricts the number of DNS requests (-max_dns_conns).
VB.Hook.intercept.code.testing.process.firewall.ra_VB firewall_V
09-24
VB全局 Hook 测试进程防火墙拦截进程代码VB Global Hook intercept the process of code testing process firewall
大忌 在调用第三方接口 时,一定要校验下对应的返回数据
kevin_loving的博客
05-27 2146
最近因为因为调用A的接口,返回的数据,直接给了B接口,进行二次查询,一直报错 但是B接口也没有返回是具体什么错,就是直接错误,由于数据量又比较大,一直没看出来是什么,以为是调用另一个 Feign接口太过频繁导致超时导致的,但是后来看了 日志发现参数不对, 当时就纳闷了,除了调A接口返回的数据,作为其中的两个参数用于调用接口B以外就没有其他的了,问题就就出在接口A返回的数据,我查询的前一天的数据...
Eumn类使用例子
kevin_loving的博客
07-18 1797
注意一点 values()方法是编译器给Eumn类添加的方法   public enum UserTypeEnum { USER_SUPER(0,&quot;运维人员&quot;), USER_ADMIN(1,&quot;企业管理员&quot;), USER_GENERAL(2,&quot;普通用户&quot;), USER_UNKONW(3,&quot;第三方用户&quot;); private Integer type; ...
组合主键——实体类——Oracle数据库
kevin_loving的博客
11-07 759
@Entity @Table(name = &quot;XXXX&quot;) public class RolePrivilegeMap implements CmsMainBo { private RolePrivilegeMapId id; @EmbeddedId public RolePrivilegeMapId getId() { return id; ...
经纬度 正则 以 / 分隔符
kevin_loving的博客
03-23 718
1?(0?\d{1,2}.\d{1,6}|1[0-7]?\d{1}.\d{1,6}|180.0{1,6})/[-+]?([0-8]?\d{1}.\d{1,6}|90.0{1,6}) -+ ↩︎
浅拷贝 和 深拷贝
kevin_loving的博客
11-16 163
Father package com.kevin.test.test; /** * Created by jinyugai on 2018/11/16. */ public class Father implements Cloneable { public String xm; public Child child; public Girl girl; ...
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String &quot;%25&quot;,出现这种异常,如何捕获
最新发布
06-10
要捕获org.springframework.security.web.firewall.RequestRejectedException异常,可以使用Spring MVC中的@ControllerAdvice注解来实现全局异常处理。 具体实现步骤如下: 1. 创建一个异常处理类,使用@ControllerAdvice注解标记该类。 2. 在该类中,使用@ExceptionHandler注解标记一个方法来处理org.springframework.security.web.firewall.RequestRejectedException异常。 3. 在该方法中,使用try-catch块来捕获org.springframework.security.web.firewall.RequestRejectedException异常,并进行相应的处理,例如记录日志、返回自定义错误页面等。 示例代码如下: ```java @ControllerAdvice public class GlobalExceptionHandler { @ExceptionHandler(RequestRejectedException.class) public ModelAndView handleRequestRejectedException(HttpServletRequest request, Exception ex) { ModelAndView modelAndView = new ModelAndView(); modelAndView.addObject(&quot;exception&quot;, ex); modelAndView.addObject(&quot;url&quot;, request.getRequestURL()); modelAndView.setViewName(&quot;error&quot;); return modelAndView; } } ``` 在上面的代码中,handleRequstRejectedException方法用来捕获org.springframework.security.web.firewall.RequestRejectedException异常,并返回一个包含异常信息的ModelAndView对象,该对象包含了异常信息和请求的URL。最后,该方法返回一个视图名为&ldquo;error&rdquo;的ModelAndView对象,用来展示自定义的错误页面。 需要注意的是,以上代码仅供参考,具体实现还需根据实际业务需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值