在用户被重定向到登录页面时,由于Servlet容器将jsessionid编码到URL中,导致Spring Security拦截并抛出错误。OWASP警告URL暴露jsessionid存在安全风险,推荐修改Servlet容器的会话机制或调整Spring Security配置以避免会话固定攻击。
问题的复盘
首先这个问题出现的时机是,当用户访问特定的连接(如http://localhost/index)时没有权限,被重定向到登录页面http://localhost/login。为了登录成功后再跳转到目标访问的页面http://localhost/index,Spring Security会在Cookie中存一个信息,标记一为一个jsessionid。重定向时Servlet容器,也就是tomcat之类的会把jsessionid编码到重定向url,也就是http://localhost/login;jsessionid=xxxxxxxxxx。这种请求会被Spring Security的StrictHttpFirewall拦截,引发进而The request was rejected because the URL contained a potentially malicious String ";"错误。
安全策略
OWASP指出在URL中暴露jsessionid是非常危险的举动,可能导致会话固定攻击,因此不建议上述的行为。
解决方案
目前有两种解决方案。
允许url携带jsessionid
这种在网上很多,如果浏览
最低0.47元/天 解锁文章
扫一扫
1173
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
