spring security关于URL中包含双斜杠被权限拦截的处理

最新推荐文章于 2023-05-04 20:40:46 发布
最新推荐文章于 2023-05-04 20:40:46 发布
阅读量2.9w 收藏 8
点赞数 4
分类专栏: spring security 文章标签: springbooot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30062181/article/details/84964691
版权

今天测试提了个bug,说某个接口被权限拦截了,无法调用成功,但是接口明明已经过滤拦截了,postman亲测无问题,问什么还会导致被拦截呢,然后检查后发现,接口URL中包含一个双斜杠导致出现这个问题。(就像这样的 localhost:8080//api/a/people/1这种 8080后面有两个斜杠)

public class StrictHttpFirewall implements HttpFirewall {

		/**
			省略甚多东西
		*/
/**
	 * Checks whether a path is normalized (doesn't contain path traversal
	 * sequences like "./", "/../" or "/.")
	 *
	 * @param path
	 *            the path to test
	 * @return true if the path doesn't contain any path-traversal character
	 *         sequences.
	 */
 private static boolean isNormalized(String path) {
		if (path == null) {
			return true;
		}
		//!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
		//就是此处 注意看 就是他给返回了false
		if (path.indexOf("//") > -1) {
			return false;
		}

		for (int j = path.length(); j > 0;) {
			int i = path.lastIndexOf('/', j - 1);
			int gap = j - i;

			if (gap == 2 && path.charAt(i + 1) == '.') {
				// ".", "/./" or "/."
				return false;
			} else if (gap == 3 && path.charAt(i + 1) == '.' && path.charAt(i + 2) == '.') {
				return false;
			}

			j = i;
		}

		return true;
	}
}

上面那段代码中在验证url中包含双//会直接返回验证失败。

怎么解决这个问题呢,想了一个偷巧的办法,在过滤器最前面增加一个HttpRequest的wrapper。

@Component("uriFormatFilter")
public class UriFormatFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {

        String uri = httpServletRequest.getRequestURI();
        String newUri = uri.replace("//","/");
        httpServletRequest = new HttpServletRequestWrapper(httpServletRequest){
            @Override
            public String getRequestURI() {
                return newUri;
            }
        };

        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

@Component("permitAllSecurityConfig")
public class PermitAllSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

    @Autowired
    private Filter uriFormatFilter;

    @Bean
    public FilterRegistrationBean setFilter() {
        FilterRegistrationBean filterBean = new FilterRegistrationBean();
        filterBean.setFilter(uriFormatFilter);
        filterBean.setName("uriFormatFilter");
        filterBean.addUrlPatterns("/*");
        filterBean.setOrder(-10000);
        return filterBean;
    }

}

问题华丽丽的解决
没错,我就是程师傅
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其权限控制是Spring Security的一个重要组件,它允许...
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
Spring Security框架,`FilterSecurityInterceptor`是一个关键组件,用于控制用户对应用程序不同URL的访问权限。这个拦截器在用户发起HTTP请求时介入,基于预定义的安全策略判断用户是否被授权访问请求的资源。...
url斜杠//代表的意义
情绪不稳定的98年程序员
05-20 9396
图片地址:https://upload-images.jianshu.io/upload_images/2849271-0cd2a78eb9e6ceb7.jpeg?imageMogr2/auto-orient/strip|imageView2/2/w/800/format/webp 今天在爬取一个网站的时候,遇到一个img标签 src是//upload-images.jianshu.io/upload_images/2849271-0cd2a78eb9e6ceb7.jpeg?imageMogr2/auto
关于URL路径斜杠的识别和转化
技术广场
05-04 1687
此外,根据[[3](https://stackoverflow.com/questions/39432945/is-there-a-way-to-handle-double-slash-in-url-in-spring-rest-controller)]的讨论,如果斜杠在路径的间,大多数 Web 服务器和框架都可以正确解析和转换。例如,根据[[1](https://aws.amazon.com/cn/api-gateway/faqs/)]的描述,AWS API 网关在安全方面对路径设置了较高的级别。
斜杠//开头的URL的含义
細水、長流√的专栏
10-22 1088
在HTML网页,有时会发现类似于//www.studyofnet.com/news/1341.html这样的代码,那么,这种以斜杠//开头的URL的含义是什么呢? 在WEB网页,有时会发现类似下面这种 url 写法 <img src="//image.studyofnet.com/upfileImages/20161008/20161008222856974.gif"&...
SpringSecurity防火墙问题,提示url出现了“//“拒绝请求
zyggangguigui的博客
02-20 1779
SpringSecurity防火墙拦截url请求,"//"具有潜在的威胁,拒绝请求 org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "//"
【解决】SpringBoot使用Security拦截斜杠请求导致重定向过多的问题
Damionew的博客
02-15 6448
问题描述:在上篇文章SpringSecurity拦截 // 导致报错 url 请求不合规范问题通过修改Security源码已解决, 但是又因为许多静态文件也带有 // 进行请求:test//test.css等,导致重定向次数过多 问题解决:使用拦截器对所有请求进行拦截,对 request 请求url 进行重写 此处参考 spring security关于URL包含斜杠权限拦截...
spring security动态配置url权限的2种实现方法
08-27
Spring Security权限配置通常是静态的,即在配置文件或代码预先定义好URL与访问角色的关系。然而,在某些业务场景,可能需要根据运行时条件动态地调整这些权限设置。本文将探讨两种在Spring Security...
Springboot前后端分离,JWT+Security+Redis实现登录拦截权限认证,包含全局异常处理以及统一返回风格
最新发布
12-25
在本项目,我们将探讨如何利用Spring Boot、JWT(JSON Web Token)、Spring Security和Redis来实现一个高效的登录拦截权限认证系统,同时实现全局异常处理和统一的API返回风格。 1. **Spring Boot**:Spring ...
java自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文,我们将深入探讨如何在Java项目自定义Spring Security权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
url前面斜杠、单斜杠、无斜杠、点+单斜杠的总结
weixin_30551947的博客
04-29 1402
  本来只是一个绝对url和相对url的简单问题,但实际使用会碰到一些不常见的,比如斜杠,经常不用竟然忘了,做一下总结。可以参考一下这篇文章   1.url前面是斜杠(//mljr.com/car.html) 斜杠是相对协议进行url转换的,如果当前页使用的是https协议,那么转换后的url就是https://mljr.com/car.html   2.url前面是单斜杠(/newc...
SpringBoot 整合升级 Spring Security 报错 【The request was rejected because the URL was not normalized】
javaTalk
01-04 2104
目录 前言 发现问题 分析问题 解决问题 参考文档 前言 公司在推项目框架升级, 从 Spring1.x 升级到 Spring2.x , LZ 在给服务升级的时候出现一个关于 URL 包含斜杠拦截的问题。 发现问题 升级框架之后,马上收到短信和邮件报警,查看 nginx 日志发现报500的全是 URL 包含斜杠的请求,通过 nginx 的 t...
使用 spring security 时,请求的地址栏出现使用 “//”的情况,后台报错处理方法
weixin_42437002的博客
03-10 4761
使用 spring security 时,请求的地址栏出现使用 "//"的情况,后台报错如下: org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "//" at org.springframework.security.web.firewall.
SpringSecurity手动忽略斜杠校验//以及修改Jar包内源码
Damionew的博客
02-15 2008
问题描述:SpringBoot项目,想修改SpringSecurity某个jar包内源码 这里是要解决SpringSecurity验证请求使用斜杠 // 不符合规范的问题 将return false 修改为 return true 内网服务器部署了一个Tomcat项目,使用Nginx映射到外网服务器时,出现配置问题:test/login 变成了 test//login ...
The request was rejected because the URL contained a potentially malicious String ";"报错解决,
热门推荐
weixin_45313055的博客
04-30 2万+
解决问题 方法一:修改项目出现“//”斜杠URL路径,哈哈 方法二:自定义FireWall方式允许URL出现斜杠“//” 参考:Spring 5.0.3 RequestRejectedException: The request was rejected because the URL was not normalized https://stackoverflow.com/q...
HttpClient4访问URL存在多斜杠///路径的问题
无处不在
03-26 1万+
最近在开发WebService接口的时候,碰见了一个特殊的接口地址,这个接口是IBM Tivoli产品提供的WebService的接口,先来看一下这个接口地址是什么样的吧! http://127.0.0.1:1920///cms/soap 这是它提供的一个WebService的接口地址,让我很奇怪的是,这个接口和平常的调用的WebService的接口有很多不一样的地方,但是最重要的就是URL
URL包含两个斜杆导致过滤器报错
zbb20060523的专栏
11-23 201
RequestRejectedException
关于;号绕过认证的安全漏洞问题
m0_56033865的博客
06-07 2076
1、HttpServletRequestURL解析函数url=host+uri(工程名+servlet路径) 漏洞出在,当后台程序使用getRequestURI()或getRequestURL()函数来解析用户请求的URL时,若URL包含了一些特殊符号,则可能会造成访问限制绕过的安全风险,其分号;就是其一。问题出在tomcat对URL特殊字符的处理上 1.分号; 在URL遇到;号会将;xxx/的分号与斜杠之间的字符串以及分号本身都去掉: 2.斜杆/ 判断是否有连续的/,存在的话则循环删除掉多余的
http地址斜杠//开头的url(依赖协议的url
追梦猪的博客
09-27 3337
Html-斜杠//开头的URL(依赖协议的URL)发现好多网站的链接都是这种<a href="//taobao.com">淘宝</a>URL是以斜杠“//”开头的,这种写法有特殊的用途,它会判断当前的页面协议是http 还是 https 来...
Spring Security权限管理实战教程
&quot;Spring security是Java应用广泛使用的安全框架,用于实现高级的权限管理和认证机制。本示例将深入探讨如何使用Spring security来构建一个权限管理系统。&quot; 在Spring security实现权限管理的过程,主要包括以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值