背景 后端编程中会经常对url做校验,常见的场景如下 访问控制,比如静态资源不鉴权(目前都是前后端分离,并且分开部署,这种场景应该比较少了)重定向,防止前端传入高危URL,导致信息泄漏啥的 URL校验绕过场景 利用spring框架特性绕过访问 spring mvc启用suffix-pattern=true时,URL加任意后缀都能访问到对应的接口。 比如/a/b.html也能匹配到@RequestMapping("/a/b")的接口。 如果定义Filter,判断.html结尾的url,则认为是静态资源,直接对鉴权放行,就会导致接口的鉴权被绕过。 待续