SpringBoot 2.0 ErrorpageFilter disable

于 2021-09-02 14:14:59 发布
阅读量789 收藏
点赞数
分类专栏: java 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nyzzht123/article/details/120059582
版权

最近在Monitor生产环境时发现有些时段出现了大量的http 500异常,刚开始还以为是出现了问题,仔细排查过后发现其实是遇到了Sql注入的攻击,被Spring Security的拦截器拦截后抛出了RequestRejectedException的异常,由于在filter层,该异常未被处理最终成了500。虽然未造成真实的影响,但是影响到了Monitor的准确性,还是要进行处理。

方案一: RequestRejectedHandler

如果是SpringBoot 2.4,有一个很方便的解决方案

	@Bean
	public RequestRejectedHandler requestRejectedHandler() {
		// It is because of cannot catching this exception in OncePerRequestFilter.doFilterInternal in pure Tomcat Container.
		// (But can catch it in Spring Boot embedded Tomcat Container.)

		// In order to use RequestRejectedHandler, we need to upgrade spring security from 5.3.5.RELEASE to 5.4.0
		// Refer to: https://github.com/spring-projects/spring-security/pull/7052

		// Sends an error response with a configurable status code (default is 400 BAD_REQUEST)
		// We can pass a different value in following constructor
		return new HttpStatusRequestRejectedHandler();
	}

这个Handler内部会之间返回http400,但是升级Spring风险较大,评估之后采用了如下方案:

增加Filter

Spring Security的优先级较低,在上层增加Filter对专门的Exception进行catche来处理

public class UnHandleExceptionFilter implements Filter {

    private static final Logger logger = LoggerFactory.getLogger(UnHandleExceptionFilter.class);

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {

        try {
            chain.doFilter(servletRequest, servletResponse);
        }catch (RequestRejectedException e){
            logger.error("",e);
            HttpServletResponse response = (HttpServletResponse) servletResponse;
            ExceptionResp exceptionResp = ExceptionResp.ACL_ACCESS_IS_DENIED;
            
            response.setStatus(exceptionResp.getStatus());
            response.setContentType("application/json");
            MBSExceptionResp mbsexceptionResp = new MBSExceptionResp(exceptionResp);
            mbsexceptionResp.addError(e.getMessage());
            String msg= JsonUtil.toStr(mbsexceptionResp);
            PrintWriter writer = response.getWriter();
            writer.write(msg);
        }
    }

    @Override
    public void destroy() {

    }
}

该方法实现起来也很简单,本地以SpringBoot启动也不会有问题,但是我们实际上是打包成War包的形式进行部署,上到测试环境时该方案失效,并有如下异常栈:

[2021-09-01 09:16:06,740] [ERROR] 26544 [http-apr-8081-exec-266] o.s.b.w.s.s.ErrorPageFilter              - ss11dd - Forwarding to error page from request [/siteservice/v1/sites/123"] due to exception [The request was rejected because the URL contained a potentially malicious String ";"] org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String ";"
        ... suppressed 119 lines
        at org.springframework.boot.actuate.metrics.web.servlet.WebMvcMetricsFilter.doFilterInternal(WebMvcMetricsFilter.java:97) ~[spring-boot-actuator-2.3.12.RELEASE.jar:2.3.12.RELEASE]
        ... suppressed 16 lines
        at org.springframework.boot.web.servlet.support.ErrorPageFilter.doFilter(ErrorPageFilter.java:126) ~[spring-boot-2.3.12.RELEASE.jar:2.3.12.RELEASE]
        at org.springframework.boot.web.servlet.support.ErrorPageFilter.access$000(ErrorPageFilter.java:64) ~[spring-boot-2.3.12.RELEASE.jar:2.3.12.RELEASE]
        at org.springframework.boot.web.servlet.support.ErrorPageFilter$1.doFilterInternal(ErrorPageFilter.java:101) ~[spring-boot-2.3.12.RELEASE.jar:2.3.12.RELEASE]
        ...
        at org.springframework.boot.web.servlet.support.ErrorPageFilter.doFilter(ErrorPageFilter.java:119) ~[spring-boot-2.3.12.RELEASE.jar:2.3.12.RELEASE]
        ... suppressed 15 lines
        at com.XXXXX.apiserver.common.filter.SqlInsertExceptionFilter.doFilter(SqlInsertExceptionFilter.java:32) ~[classes/:41.10.0.sqlInsertError-18608]
        ... suppressed 32 lines
        at com.XXXXX.service.common.log.TrackingIdFilter.doFilter(TrackingIdFilter.java:36) ~[XXXXX-service-common-2.11.0-SNAPSHOT.jar:?]
        ... suppressed 24 lines
        at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:616) ~[tomcat-coyote.jar:8.5.64]
        at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65) ~[tomcat-coyote.jar:8.5.64]
        at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:831) ~[tomcat-coyote.jar:8.5.64]
        at org.apache.tomcat.util.net.AprEndpoint$SocketWithOptionsProcessor.run(AprEndpoint.java:2045) ~[tomcat-coyote.jar:8.5.64]

可以看到多了一层ErrorpageFilter,再看这个filter的内部

	private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		ErrorWrapperResponse wrapped = new ErrorWrapperResponse(response);
		try {
			chain.doFilter(request, wrapped);
			if (wrapped.hasErrorToSend()) {
				handleErrorStatus(request, response, wrapped.getStatus(), wrapped.getMessage());
				response.flushBuffer();
			}
			else if (!request.isAsyncStarted() && !response.isCommitted()) {
				response.flushBuffer();
			}
		}
		catch (Throwable ex) {
			Throwable exceptionToHandle = ex;
			if (ex instanceof NestedServletException) {
				Throwable rootCause = ((NestedServletException) ex).getRootCause();
				if (rootCause != null) {
					exceptionToHandle = rootCause;
				}
			}
			handleException(request, response, wrapped, exceptionToHandle);
			response.flushBuffer();
		}
	}

	private void handleException(HttpServletRequest request, HttpServletResponse response, ErrorWrapperResponse wrapped,
			Throwable ex) throws IOException, ServletException {
		Class<?> type = ex.getClass();
		String errorPath = getErrorPath(type);
		if (errorPath == null) {
			rethrow(ex);
			return;
		}
		if (response.isCommitted()) {
			handleCommittedResponse(request, ex);
			return;
		}
		forwardToErrorPage(errorPath, request, wrapped, ex);
	}

如果遇到异常的话,会根据Exception.class,来获取对应的ErrorPage的Path,最终Forward到对应的页面,没有再向外抛出异常。

为了重新取回对异常的控制权,这里有两种方式:
1.ErrorpageFilter有一个addErrorPages的方法,为特定的Excpetion设置特定的Path和Controller进行处理
2.disable ErrorpageFilter,使用自己的ExceptionHandlerFilter。

这里为了方便起见,采用了第二种方式,disable ErrorpageFilter在SpringBoot1.0版本和2.0中是不一样的,公司使用的是2.0

public class Application extends SpringBootServletInitializer implements ApplicationContextAware {


    static private ApplicationContext ctx;

    public Application(){
        super();
        setRegisterErrorPageFilter(false);
    }


    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        ctx = applicationContext;
    }

    @Override
    protected SpringApplicationBuilder configure(SpringApplicationBuilder application) {
        return application.sources(Application.class);
    }
}

禁用之后,再对拦截器进行简单修改,拦截所有的Exception,然后针对特定的进行自己的处理

nyzzht123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot项目中运行出现ErrorPageFilter问题错误
weixin_43472893的博客
04-03 7049
springboot项目中运行出现ErrorPageFilter问题错误 错误显示: http-nio-8080-exec-2 ErrorPageFilter- Forwarding to error page from request [/xxx] due to exception [java.lang.NullPointerException]=null 问题分析: 这里很可能是contorller类的代码无法捕捉获取bean代码的。 解决方式: 如下:将@SpringBootApplication
spring boot errorPageFilter 冲突问题。
u014439400的博客
12-26 9036
java.lang.IllegalStateException: ApplicationEventMulticaster not initialized - call 'refresh' before multicasting events via the context: org.springframework.boot.context.embedded.AnnotationConfigEmbe
spring boot 问题记录 ErrorPageFilter
weixin_30950607的博客
03-02 446
项目现场遇到的一个问题,日志截取如下: 商品修改页面无法显示,web端报错。 发现是ErrorPageFilter的报错,别的什么都找不到原因。 一个类似的解决方案: https://stackoverflow.com/questions/30170586/how-to-disable-errorpagefilter-in-sprin...
springboot项目打包后部署外部Tomcat出现ErrorPageFilter异常--处理方案
热门推荐
LuckyToMeet-Dian叶
11-30 2万+
前言:         近段时间,将项目部署到测试环境供测试人员进行测试,结果一天后看日志,发现日志居然10多M了。唉,苦逼的去撸日志,结果发现一大堆关于JS的错误。初看还真的以为是js的错误。后来认真看才发现,开始了问题排查。国内的百度--真心垃圾,找的都是废话,也可能是我的搜索不对。逼得我五好青年科学上网,寻求方案。       注:这个错误其实不用理的,因为不会影响到服务器的正常运行,...
disable-google-mapsV2.0.zip
04-28
为此,"disable-google-mapsV2.0.zip"这个压缩包提供了一个专门的解决方案——WordPress谷歌地图禁用插件,旨在优化网站性能,提升访问速度。 该插件名为"disable-google-maps",其主要功能是禁用WordPress中的谷歌...
蚁剑的能绕过disable_functions的插件
06-21
蚁剑的能绕过disable_functions的插件,插件无法下载问题
vue动态禁用控件绑定disable的例子
10-16
今天小编就为大家分享一篇vue动态禁用控件绑定disable的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
.csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } ``` 总结 本文详细介绍了如何将SpringSecurity和jwt整合到SpringBoot项目中,以提供一个安全的身份验证和...
enable disable home
06-09
enable and disable "HOME" button in android 4.0.3 above the version 4.0.3,we should modify the frameworks detail is described in the Enable_Disable_Home.rar
springboot项目出现ErrorPageFilter异常--处理方案
泗水长流的博客
03-09 1万+
springboot项目出现ErrorPageFilter异常--处理方案 今天用springboot(2.2.12.RELEASE)+beetl模板的时候,由于某个模板找不到,系统一直出现报错日子: [http-nio-8080-exec-1] ERROR o.s.b.w.s.s.ErrorPageFilter - [handleCommittedResponse,219] - Cannot forward to error page for request [/yuantuannews/list/in
Spring Boot2 自定义错误页面
laker的博客
12-15 623
文章目录1. 前言2. 禁用默认错误页3. 配置自定义页面3.1 准备个404.html页面3.2 自定义ErrorController4. 验证 1. 前言 一个常见的404错误页,Whitelabel Error Page 我们在项目开发的时候有时候,有的需求场景可能需要自定义Spring Boot应用程序的默认错误页面,因为默认的实在是太丑了,体现不了我们的专业和牛逼的地方,那么应该怎么快速解决这个问题呢? 来看看下面的操作吧,非常的优雅。 2. 禁用默认错误页 配置文件设置为false,默认是tr
springboot ErrorPageFilter的实际应用
夏末安的博客
08-09 5359
Spring框架错误页过滤器 springboot提供了一个ErrorPageFilter,用来处理当出现发生错误时如何展现,话不多说请看代码 private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOExce...
idea中Maven项目jstl报错:无法在web.xml或使用此应用程序部署的jar文件中解析绝对uri:[http://java.sun.com/jsp/jstl/core]
Java笔记
12-03 2443
web应用启动报如下错误,表示缺少jstl相关的jar包: o.s.b.w.servlet.support.ErrorPageFilter : Forwarding to error page from request [/login] due to exception [无法在web.xml或使用此应用程序部署的jar文件中解析绝对uri:[http://java.sun.com/jsp/jstl/core]] org.apache.jasper.JasperException: 无法在web.x.
o.s.b.w.servlet.support.ErrorPageFilter : Cannot forward to error page for request ,页面报错404
ljf12138的博客
06-10 4307
部署项目出现的异常: o.s.b.w.servlet.support.ErrorPageFilter : Cannot forward to error page for request [/login/page] as the response has already been committed. As a result, the response may have the wrong status code. If your application is running on WebSphere.
总结问题分析方法(导出时出现连接被提前响应错误)
qq_38167629的博客
04-27 305
总结问题分析方法(导出时出现连接被提前响应错误) 2021-04-2711:01:23.286 ERROR 12572 --- [nio-8077-exec-5] o.s.b.w.servlet.support.ErrorPageFilter: Cannot forward to error page for request [/check/checkeveryday/checkEndEveryDay/export] as the response has already been connitted. A
How to disable ErrorPageFilter in Spring Boot?
zh554275855的博客
07-06 1047
How to disable ErrorPageFilter in Spring Boot? 1. Spring Boot (tested with 1.3.0.RELEASE) @Bean public ErrorPageFilter errorPageFilter() { return new ErrorPageFilter(); } @Bean public FilterRegis...
部署到linux的war文件访问提示错误,为什么war包在Windows的tomcat正常运行,在linux服务器报errorpage错误?...
weixin_33293612的博客
05-10 625
最近项目完成后打包成war发布到服务器遇到访问应用404问题,用的是tomcat8.5,错误信息如下:o.s.b.w.servlet.support.ErrorPageFilter:Cannotforwardtoerrorpageforrequest[/login]astheresponsehasalreadybeencommitted.Asaresult,...
springboot集成saml2.0
最新发布
05-25
在集成 SAML 2.0 单点登录(SSO)到 Spring Boot 应用程序时,通常需要使用 Spring Security SAML 扩展。 以下是在 Spring Boot 中集成 SAML 2.0 的基本步骤: 1. 添加 Spring Security SAML 依赖: ```xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值