Q:gateway下SpringBoot Actuator未授权访问漏洞修复
/actuator路径下会暴露系统关键信息
A:百度给的建议是增加对endpoint的security鉴权,但gateway是一个网关,单纯的网关服务不涉及业务,存在无token身份信息的接口,所以不适应对gateway增加鉴权,而应该对gateway所转发的服务增加鉴权。最后采取的方案是通过nginx对/actuator进行过滤
#避免端点问题
if ($request_uri ~ "/actuator"){
return 403;
}