shiro从1.6.0升级到1.7.1版本,请求路径中带有中文接口报400

最新推荐文章于 2024-01-16 00:12:03 发布
最新推荐文章于 2024-01-16 00:12:03 发布
阅读量492 收藏 2
点赞数 1
分类专栏: 框架 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wazz753/article/details/128867853
版权

由于shiro1.6.0版本出现了安全漏洞,于是进行了版本的升级,升级到1.71.版本,但遇到了以下问题:

1、访问某个接口的时候,返回状态码400,invaild request;
2、访问路径为XX/XXX/{params}。XXX包含中文


找到问题所在
1、先找到是哪个地方报的400

2、看1.6.X和1.7.X版本该类的区别
1.6.X

 

1.7.X


从图片可以看出,1.6.X只校验了uri = WebUtils.toHttp(request).getRequestURI(),但是1.7.X还校验了路径 request.getPathInfo(),且进行了解码得到路径,路径中有中文,就校验不通过

 

解决办法:

创建一个自定义类

public class CustomShiroFilterFactoryBean extends ShiroFilterFactoryBean {
 
    @Override
    protected FilterChainManager createFilterChainManager() {
        FilterChainManager manager = super.createFilterChainManager();
       
        Map<String, Filter> filterMap = manager.getFilters();
        Filter invalidRequestFilter = filterMap.get(DefaultFilter.invalidRequest.name());
        if (invalidRequestFilter instanceof InvalidRequestFilter) {
        //此处是关键,设置false跳过URL携带中文400,servletPath中文校验
            ((InvalidRequestFilter) invalidRequestFilter).setBlockNonAscii(false);
        }
        return manager;
    }
}


在shiroConfig中getShiroFilterFactoryBean中引入CustomShiroFilterFactoryBean


@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager) {
        CustomShiroFilterFactoryBean shiroFilterFactoryBean =new CustomShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
 
        /*
         * 添加shiro内置过滤器,实现权限相关的url拦截
         * 常见过滤器:
         * anon:无需认证(登录)可以访问
         * authc:必须认证才可以访问
         * user:如果使用Remember Me的功能,可以直接访问
         * perms:该资源必须得到资源权限才可以访问
         * role:该资源必须得到角色权限才可以访问
         */
        Map<String, String> filterMap = new LinkedHashMap<>();
        filterMap.put("/add", "authc");
        filterMap.put("/update", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

wazz753
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro1.3升级1.7遇到重定向登录页面时400错误
u011017880的专栏
03-04 1997
因为项目单点登录的需求,对原项目进行单点登录改造,对shiro 进行升级,由原1.3升级1.7,原代码未做任何改动,登录重定向400,但直接访问登录页正常,两者差异在于url增加自带参数jsessionid,导致400,改配置文件即可,代码如下: <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="sessionI
shiro1.6升级1.7后的问题处理
热门推荐
qq_35598240的博客
11-29 1万+
由于shiro1.6出现了安全漏洞,需要进行1.7升级 问题描述 进行升级后有个url突然访问不了,HTTP返回了400,Invaild Request。 接收的URL为 xxx/detail/{name}。 前端传递的地址为 xxx%2fdetail%2f%e6%88%bf%e4%ba%a7(带有中文,已用URL编码) 思路 看到HTTP响应400,我在想是前端参数出了什么问题吗?还是后台接收参数改动了吗? 看了git记录,这边没人改动,那这就很灵性了,只能通过调试找出哪个地方访问400了,我
解决配置Shiro中文url请求400的问题
m0_67391121的博客
04-12 1130
原因 来自Shiro的一个过滤器 具体信息和解决方法到我的这个博客看点此跳转
springboot shiro升级请求路径URL path传中文参数400invalid reqeust
weixin_52472152的博客
09-13 822
将项目的fhiro升级后发现通过url path传中文的所有请求400 invalid reqeust错误。1、ShiroConfig类增加InvalidRequestFilter Bean。2、修改shiro过滤器配置Bean增加。3、重启应用,问题解决。完整的过滤器配置如下。
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6648
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本shiro-1.3.2也可顺利升级shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro1.7.1.zip
04-12
最新版shiro1.7.1.jar包,安全升级专用
shiro1.6.0.zip
08-20
最新shiro1.6.0最全的jar包,包含shiro-features-1.6.0-features.xml的配置以及shiro-core shiro-spring shiro-web 等等一系列jar
Shiro升级1.7.x
m0_67393342的博客
03-28 779
升级步骤 原先的代码没有作修改,只是在pom.xml文件引入了新的依赖 依赖下载地址:Maven库 需要引入的依赖如下: shiro-core-1.7.0.jar shiro-web-1.7.0.jar shiro-ehcache-1.7.0.jar commons-beanutils-1.9.4.jar encoder-1.2.2.jar 具体的依赖文本 org.apache.shiro shiro-web 1.7.1 org.apache.
解决shiro升级1.6后url拼接;jsession引发400问题
web15185420056的博客
04-12 241
shiro.xml文件添加配置 配置解析 1、添加 sessionManager bean 2、把新增sessionManager注入securityManager <!—这句必须加,不然白扯 --> 3、新增 sessionIdCookie, 解决no session问题
shiro升级1.7后, 静态文件包含中文请求不到
dongyan3595的博客
07-08 1137
自定义CustomShiroFilterFactoryBean继承ShiroFilterFactoryBean package com.cm.interceptor.shiro; import java.util.Map; import javax.servlet.Filter; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org.apache.shiro.web.filter.InvalidRequestFilt
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 2972
Shiro1.7.1版本默认密钥的漏洞
shiro 升级到1.8,中文路径拦截问题解决
weixin_47678728的博客
08-03 305
在本次项目之前使用 shiro1.4的版本,后来项目要求升级到1.8,在升级的过程,发现带中文静态资源文件路径访问400,去掉中文就正常访问。按程序来说,不带中文路径其实是最好的,但很多要求中文下载路径,没办法,只能对代码进行修改。再去shiroConfig 配置文件 ,把原先的 ShiroFilterFactoryBean 替换成我们刚新建的 CustomShiroFilterFactoryBean。建立自定义的shiroFilterFactoryBean 继承。
shiro最新版本 1.6.0登录bug修复
m0_67391120的博客
04-07 1365
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。但实际升级后,使用发现第一次打开浏览器访问时会出现Invalid request。具体错误提示如下: 降级到1.4.2时是可以正常登录的,反复试验几次,确定是升级shiro版本引起,阅读shiro 1.6.0源码,发现shiro引入了InvalidRequestFilter过滤器,目的是验证url上是否有恶意伪造的特殊字符。但这个类也正好将登录url拼接的 ;jsessionId=xxx 也一起拦截了,结果就出现了上图的错
[漏洞复现]Apache Shiro1.6.0 验证绕过漏洞(CVE-2020-13933)
最新发布
k5664524的博客
01-16 623
p>Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问
Shiro安全框架【SpringBoot版】
mmklo的博客
10-04 2324
Apache Shiro 是一款功能强大的且易于使用的Java的安全框架。Shiro可以完成:认证、加密、会话管理、与web集集成等。借助SHiro可以帮助我们快速轻松的保护任何应用程序。shiro官网:Apache Shiro | Simple. Java. Security.与Shiro的特性密不可分:SpringSecurity基于Spring开发,项目若使用Spring 可以与SpringSecurity作权限更加方便,而Shiro需要与Spring进行整合Spring Security功能更加丰富
shiro-core升级到1.11.0版本需要注意哪些测试点
06-13
升级shiro-core到1.11.0版本时需要注意以下测试点: 1. 认证和授权:确认认证和授权功能是否正常。 2. 性能:测试升级后的性能,确保没有出现任何性能问题。 3. 兼容性:测试升级后的兼容性,确保没有出现任何兼容性问题。 4. 安全性:测试升级后的安全性,确保没有出现任何安全问题。 5. 异常处理:测试升级后的异常处理,确保没有出现任何异常。 6. 可靠性:测试升级后的可靠性,确保没有出现任何可靠性问题。 7. 配置项:确认配置项是否仍然有效,例如Realm的配置等。 需要注意的是,在测试升级后的版本时,一定要对所有的代码路径进行测试,确保没有遗漏任何问题。此外,如果你的应用程序有与shiro-core相关的第三方依赖库,也需要对这些依赖库进行测试,确保没有出现任何问题。同时,还需要注意新版本与旧版本的差异,特别是在API方面的变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值