Spring MVC URL 匹配禁用后缀访问

最新推荐文章于 2023-06-30 20:26:59 发布
最新推荐文章于 2023-06-30 20:26:59 发布
阅读量622 收藏
点赞数
分类专栏: SSM 文章标签: springmvc
原文链接:https://blog.csdn.net/ruipheng/article/details/65438703
版权

SpringMVC URL匹配 后缀访问 权限控制 安全策略
关键词由CSDN通过智能技术生成

Spring MVC URL 匹配禁用后缀访问

转载自: 锋行的blog:http://blog.csdn.net/ruipheng/article/details/65438703

在spring mvc中默认 访问url 加任意后缀名都能访问

比如:你想访问 /login ,但是通过 /login.do /login.action /login.json 都能访问

通常来说可能没有影响,但对于权限控制,这就严重了。

权限控制通常有两种思路:

1)弱权限控制

允许所有url通过,仅对个别重要的url做权限控制。此种方式比较简单,不需要对所有url资源进行配置,只配置重要的资源。

2)强权限控制

默认禁止所有url请求通过,仅开放授权的资源。此种方式对所有的url资源进行控制。在系统种需要整理所有的请求,或者某一目录下所有的url资源。这种方式安全控制比较严格,操作麻烦,但相对安全。

如果用第二种方式,则上面spring mvc的访问策略对安全没有影响。

但如果用第一种安全策略,则会有很大的安全风险。

例如:我们控制了/login 的访问,但是我们默认除/login的资源不受权限控制约束,那么攻击者就可以用 /login.do /login.xxx 来访问我们的资源。

  <mvc:annotation-driven>
    <mvc:path-matching suffix-pattern="false" />
  </mvc:annotation-driven>

在匹配模式时是否使用后缀模式匹配,默认值为true。这样你想访问 /login ,通过 /login.* 就不能访问了。

注意小野猪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序url:XXX不在以下request合法域名列表中怎么解决?
zxx183420的博客
10-02 1050
22微信小程序在向服务器发送请求时,如果没有对服务器进行相应的配置,会出现以下保存: 微信小程序如何配置服务器域名呢? 1、打开 微信公众号平台并登录微信公众平台微信公众平台,给个人、企业和组织提供业务服务与用户管理能力的全新服务平台。https://mp.weixin.qq.com/ 2 、点击开发管理 3、点击开发设置 4、找到服务器域名,点击修改5、修改之后,如下图 注意: 服务器配置的域名,要和微信请求中的url的域名一样 ...
纯静态html页面,js 如何拦截请求url后缀不是.html的访问地址
cj_zyz的博客
06-28 8059
纯静态html页面,如何拦截请求url后缀不是.html的访问地址 你不要被标题给骗了,你如果想法是“如何拦截url”,那你就想错了,因为html页面是无法拦截那些后缀名不是.html的url的,我当时也总这么想,所以总找不到解决方法。换了种方法,就解决了 背景:从总监那里得知,说要给公司做一个官网,把旧官网换掉,做个新的,而且公司买了百度的流量,考虑到,这股流量,会不会有可
ThinkPHP5.0学习-路由
乌药ice
07-17 1084
路由初体验 用户请求->路由解析->调度请求->执行操作->响应输出 路由就像一个一个总调度,把用户不同的请求,分发到对应的URL地址上 路由的作用: 1.根据事先定义的路由规则,检验URL请求,确定执行或拒绝; 2.路由规则可自定义,隐藏了原URL地址,使访问更安全,地址更优雅。 路由规则写在哪里? 1,路由规则写在与应用配置同级的route.php文件中;...
spirng 中禁用后缀url访问,类似REST方式 ,spirng 4.x 之后的版本有@RestController支持
叮咚侠的博客
09-12 2658
使用spring MVC的时候,默认访问url是.do结尾,如果想去掉这个后缀,那么使用spirng 4.X之后的版本的时候,可以直接使用@RestController注解实现这个功能。具体配置如下: 第一、web.xml文件中的配置:             controller         org.springframework.web.servlet.DispatcherSe
解决微信后台禁用url问题
最新发布
weixin_42560424的博客
06-30 863
由于目前用的平台,域名都没有在微信授权,所以被微信给禁用了,我们现在用一个接口可以绑定域名的平台转发一下,演示选择使用vscode工具,其它有终端的工具亦可。如果以前都登陆过vercel,会自动登录成功,显示如下页面,没有登陆的过的选择自己的github账户登录一下。安装中可能有些同学会安装失败,可以更新一下node的版本,没有node的安装一下,有node的更新到最新,这个指令给项目生成一个package.json文件,用于管理依赖等,可以一路回车。安装node过程不再多说,不会的可以搜索一下。
Spring Boot 定制URL匹配规则的方法
08-31
Spring Boot应用中,我们经常需要自定义URL匹配规则来满足特定的路由需求。Spring Boot提供了灵活的配置机制,使得我们可以根据项目需求调整其默认的路由策略。在本文中,我们将深入探讨如何通过继承`...
Spring boot 配置参数一览.pdf
05-22
- `spring.view.suffix`:Spring MVC视图的后缀。 - `spring.resources.cache-period`:发送到浏览器的头部中的缓存超时时间。 - `spring.resources.add-mappings`:如果设置为false,则禁用默认的资源映射。 以上...
在IDEA中构建Spring Boot + JSP项目
03-18
spring.mvc.view.prefix=/WEB-INF/jsp/ spring.mvc.view.suffix=.jsp ``` **3. 创建JSP页面** 在`src/main/webapp/WEB-INF/jsp`目录下创建一个新的JSP文件,例如`index.jsp`。在JSP文件中,你可以编写HTML结构,并...
WebMvcConfigurer.docx
12-30
- **使用**:可以通过该方法配置路径匹配规则,例如启用或禁用后缀模式匹配(`setUseSuffixPatternMatch`)、尾部斜杠匹配(`setUseTrailingSlashMatch`)等。 ```java public default void configurePathMatch...
springboot-jsp.zip
12-18
在`application.properties`或`application.yml`中配置`spring.mvc.view.prefix`和`spring.mvc.view.suffix`,指定视图解析器查找JSP文件的前缀和后缀: ```properties spring.mvc.view.prefix=/WEB-INF/jsp/ ...
springmvc关闭url后缀匹配访问
sumengnan的博客
02-24 1220
现象: 例如:当我们想下载附件时访问url:/affix/xxx/download时便可访问。接口如下图: @RequestMapping(value = {"/affix/{encryptionId}/download"}, method = {RequestMethod.GET}) public void download(@PathVariable String encryptionId, HttpServletRequest request, HttpServletResponse res
Springboot请求的URL中含有‘:‘、‘/‘等转义字符导致404错误问题
MTonj的博客
10-15 3725
本来在上一次解决“Springboot用@PathVariable传参,最后一个参数小数点(.)后面数据丢失问题”时,花费了一些时间,解决了问题。但是没想到此次项目中的请求URL含有的不仅仅是一个小数点这么简单的,更多的是各种特殊字符的混搭。 例如下面的一个请求:(delete方式) http://localhost:8088/backend/api/v2/users/123@gmail.com/element /http%3A%2F%2Ftext-add%3A8090%2Foperation%2Ft
login.do不是文件
12-04 4853
login.do不是文件,是一种url访问的方式,跟.jsp .asp .php .aspx .html .htm 不一样,login.do之后,服务器所返回的页面有可能是.jsp .html等等。 如果是java的struts的话,一般都会返回.jsp或.html的内容,貌似php也有这种login.do的方式。。
何时使用.do和.jsp
limuzi13的专栏
04-10 8580
MVC的项目中一般不会直接去访问JSP,都是通过.do来转发。 这样做的好处是: 1 所有请求全部通过action来转发,这样便于整体框架的处理。比如,可以加入登陆到某个叶面的权限控制,只需要在配置文件中配置,而不用再每个JSP文件中加入相关的逻辑。 2 与数据库,文件等底层存储层连接,读取数据的代码可以在类(action)中执行。这样做,一方面可以将很多方法复用,另一方面使JSP叶面的代
【JavaWeb开发-Servlet】day07-学生成绩管理系统-实现登录注册功能
有朋自远方来,不亦乐乎。
12-10 2405
实现对所有访问路径的拦截,只对login、style、checkcode路径放行,必须从login页面跳转到list页面否则其他路径都不予通行,原理是登录时会在session中留下记录,所以session不为空,判断后可以继续向下访问,如果session为空,也就是没有完成登录,就会跳转到login.jsp,直到完成登录才能进行继续访问。实现验证码功能时,我们单独写了一个Servlet(也可以和上面的写在一起,以CheckCode.do的方式)但是代码有点多,就单拿出来了。后缀匹配 *.do。
springmvc中关于相对路径前加不加斜杠‘/’的区别
qq_52740442的博客
06-27 2507
一、请求路径 一个正确的请求路径应该是由资源路径+资源名称组成 http://localhost:8080/sk_war_exploded/login.do为绝对路径 http://localhost:8080/sk_war_exploded为资源路径 login.do为资源名称 相对路径:/login.do就是一个相对路径,相对路径会依赖于一个其他路径作为参照路径,与这个参照路径组合去定位一个资源,即参照路径+相对路径=绝对路径 二、相对路径前是否加上斜杠(/),会产生不同的效果 2.1、路径解析在
踩坑记录 - 关于使用Spring security的一个坑(自定义登录页面访问配置的login.do报404)
热门推荐
SkyWalker的博客
03-22 1万+
今天分享一个使用Spring security的一个坑。。。 废话不说,上代码: <!-- 登录页面login.html --> <form id="login-form" action="/login.do"> 用户名:<input type="text" name="username"/> <br> 密码:<input type="p...
前端防止url输入地址直接访问页面
weixin_30855099的博客
07-18 2889
首先,解决这个问题要搞明白此url是从程序内部跳转还是直接在地址栏输入的,如果是程序内部跳转,那就好办啦。方法如下:   判断用户是否登录状态,是否携带token   使用router.beforeEach注册一个全局前置守卫,判断用户是否登录。    router.beforeEach((to, from, next) => { if (to.path ===...
shiro认证登录
AC_XI的博客
03-19 350
问题:Shrio是如何通过认证的 背景:使用DefultWebSecurityManage实现用户登录认证,并且自定义一个Realm 线索: (1)在配置文件中,ShiroFilterFactoryBean依赖与SecurityManager,SecurityManager依赖于Realm,也就是说在代码中这几个之间构成了某种关系 (2)先弄清楚Realm的实现类,Subject的实现类更加容易理解方法的调用,他们贯穿了整个认证流程 基于Shiro实现的登录逻辑 1.用户输入login.do并且加入user
Spring MVC注解教程:URL表达式详解
文章通过示例展示了不同类型的URL匹配规则,并提到了Spring MVC 3.0的新特性,包括对RESTful风格URL的支持、更多的注解、HTTP输入输出转换器、数据转换、格式化和验证集成,以及对静态资源的处理等。此外,还简述了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值