tomcat配置url跳转_关于Tomcat如何处理Open Redirect的问题

最新推荐文章于 2023-03-03 22:24:33 发布
最新推荐文章于 2023-03-03 22:24:33 发布
阅读量186 收藏
点赞数
文章标签: tomcat配置url跳转

Thursday, 18 February, 2016 5:03 PM

最近处理security issue的时候,遇到一个问题。由于对tomcat的机制不是很熟悉,所以没啥头绪。

问题如下

1. https://jerry-storefront-ui-test-v1.us-east.cf.yaas.io///example.com/a 这个URL会redirect到example.com/a/ (请拷贝https://jerry-storefront-ui-test-v1.us-east.cf.yaas.io///example.com/a,而不是直接点击)

2. https://jerry-agenthome-ui-test-v1.us-east.cf.yaas.io///example.com/a/ 这个URL就会报资源没法找到(请拷贝https://jerry-agenthome-ui-test-v1.us-east.cf.yaas.io///example.com/a/,而不是直接点击)

两个差不多的URL,但是得到不同的处理。我猜想应该是使用的tomcat版本不同或者tomcat的配置不同。但是我不知道用什么方法去验证这个猜想。

为什么第一个请求会先返回303 error,然后再去取一次,于是遇到404 error,而第二个请求没有重定向,直接404 not found error?

dfd48b3fbac64fbc1902ee63f7bb7ad5.png

我以前在ABAP里处理过类似的重定向问题,因为SAP的netweaver也能作为web server用,所以在ABAP里要实现来一个url,动态决定其response code,比如200还是303,404 都是可以通过配置或者写代码来实现的:

http://scn.sap.com/docs/DOC-53666

但是这个case,https://jerry-storefront-ui-test-v1.us-east.cf.yaas.io这个url到底是run在什么server上的。Tomcat?

我在https://tomcat.apache.org/里看到了status code 303对应定义的constant SC_SEE_OTHER.

7436c588ffa8436e5d133cc8e7edc73e.gif
4267529a0b9561a71ebae31c5f4e8793.gif
00f6b31c44c05d728badf7f6780e3c24.gif

如果url是Tomcat的servlet 服务的话,据我所知这些status code只可能是Servlet实现里set进去的,像这样:

c59b816598979f7162254a42209916e4.png

http://kodejava.org/how-do-i-send-a-response-status-in-servlet/

所以最准确的办法就是找到Servlet实现的代码,看代码在什么情况下会抛出SC_SEE_OTHER.

Tomcat除了通过Servlet写代码实现给Response赋上不同的status code之外,是否还能通过配置xml的方式,做到不同的url进来,自动响应以不同的status code?

weixin_39690401
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaWeb JSP 配置Tomcat 请求转发功能的实现
just_learing的博客
04-06 2304
JavaWeb JSP 配置Tomcat 请求转发功能的实现
转发和重定向的url路径到底怎么算
m0_60358315的博客
03-15 814
请求转发和重定向的url规则的区别,以及产生区别的原因
Tomcat 基础知识
qq_44728508的博客
05-28 277
1、Tomcat是什么 1、免费开放源代码的Web应用服务器,属于轻量级服务器 2、在并发不是很多的场合下被普遍使用,是开发和调试JSP程序的首选 2、Tomcat 的缺省端口是多少,咋样修改 1、找到Tomcat目录下的conf文件夹 2、进入conf文件夹里找到server.xml文件 3、打开server.xml文件 4、在server.xml文件里面找到下列信息 5、把COnnector标...
tomcat配置重定向_在Tomcat配置SSL以及从HTTP到HTTPS的设置自动重定向的步骤
从零开始的教程世界
07-09 2502
tomcat配置重定向Secured Socket Layer (SSL) is the cryptography protocol to provide message security over the Internet. It works on the notion of Private and Public keys and messages are encrypted before se...
教你Tomcat URL重写
Linuxprobe18的博客
03-19 3400
导读tomcat默认情况下不带www的域名是不会跳转到带www的域名的,而且也无法像apache那样通过配置.htaccess来实现。如果想要把不带“www'的域名重定向到带”www"域名下,又不想写代码,可以使用UrlRewriteFilter来实现。前期准备安装JDKyum install java-1.8.0-openjdk-devel vim /etc/profile.d/jdk.sh ...
Tomcat配置https并访问http自动跳转至https
10-19
主要介绍了Tomcat配置https并访问http自动跳转至https的相关资料,需要的朋友可以参考下
解决IDEA配置tomcat启动报错问题
09-29
主要介绍了解决IDEA配置tomcat启动报错问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Eclipse配置tomcat发布路径的问题wtpwebapps解决办法
08-30
主要介绍了Eclipse配置tomcat发布路径的问题wtpwebapps解决办法的相关资料,需要的朋友可以参考下
apache2.4+tomcat7+mod_jk.so_整合配置
01-05
这个整合配置有助于提高 Web 应用的性能,因为 Apache 通常处理静态内容更有效,而 Tomcat 专为处理 Java 应用而优化。同时,通过 mod_jk,你可以轻松地扩展到多台 Tomcat 实例,实现负载均衡,提高系统可用性和可...
Web安全相关(三):开放重定向(Open Redirection)
weixin_30401605的博客
05-19 807
简介   那些通过请求(如查询字符串和表单数据)指定重定向URL的Web程序可能会被篡改,而把用户重定向到外部的恶意URL。这种篡改就被称为开发重定向攻击。 场景分析   假设有一个正规网站http://nerddinner.com/,还有一个恶意网站或钓鱼网站http://nerddiner.com/(注意:这里少了个n)。   一天,小白收到了别人发的链接:ht...
Java代码弱点与修复之——Open redirect(开放重定向)
oscar999的专栏
03-03 1796
Open redirect , 开放重定向,是一种常见的安全漏洞,也被称为“重定向漏洞”。该漏洞通常出现在 Web 应用程序中,攻击者可以利用它将用户重定向到恶意站点,从而进行钓鱼攻击、恶意软件传播、诱骗等活动。
URL Redirect常用方式
Odd Man
06-04 1808
URL Redirect常用方式
应用安全系列之三十:任意重定向
jimmyleeee的专栏
04-12 1804
任意重定向,英文是Open Redirect,主要意思就是在Web应用程序进行跳转时,没有控制重定向的目标,导致可以跳转到任意一个网站。重定向在包括站forward和redirect两种,也就是转发和重定向。转发一般都用于站内的页面之间的跳转,用的都是没有站点的路径信息,而重定向一般都会使用URL跳转,可以站内,也可以站外。 重定向的方法有多种,在有META标签内跳转、javascript跳转以及header头跳转,这些跳转一般都比较难易用来攻击。另外一种常用的跳转方法是在...
tomcat部署的应用url访问方式
wangfei111g的博客
07-12 8390
tomcat启动应用时,url要加webapp下面的项目名(即文件夹名字),不过如果项目名是ROOT,则url不用加(是ROOT时不加是tomcat的规范)。比如项目是test,http://127.0.0.1:8080/url是无法访问的,而http://127.0.0.1:8080/test/url则是可以访问的。项目名是test,wget http://127.0.0.1:8080/url ...
Tomcat JavaWeb中URL重写用Forward方式并使其后filter可以拦截内部转发
您已进入外太空
05-29 3938
众所周知,在Servlet2.3规范之前Filter会拦截包括内部转发和外部转发,也就是会拦截Forward方式的转发请求。在2.4规范之后,Filter只会拦截外部请求,诸如以下方式转发的请求,Filter不会拦截request.getRequestDispatcher(newUri).forward(req, response);如果需要拦截Foward方式的转发则需要配置web.xml内fi...
URL跳转漏洞学习
Restart的博客
09-06 1926
漏洞简介 URL跳转漏洞,也叫开放重定向漏洞(open redirect) 。CWE-601对该漏洞的描述为:http 参数可能包含一个 URL 值,并可能导致 Web 应用程序将请求重定向到指定的 URL。通过修改恶意站点的 URL 值,攻击者可能成功发起网络钓鱼诈骗并窃取用户凭据。简单说来就是参数可控导致的漏洞产生。 重定向的相关知识 首先需要了解重定向的类型 1.永久重定向 这种方式表示原URL不应再被使用,应该优先选用新的URL。相关的状态码为301(Moved Permanently)、308
eclipse启动tomcat无法访问
热门推荐
wqjsir的专栏
01-01 11万+
症状: tomcat在eclipse里面能正常启动,而在浏览器中访问http://localhost:8080/不能访问,且报404错误。同时其他项目页面也不能访问。 关闭eclipse里面的tomcat,在tomcat安装目录下双击startup.bat手动启动tomcat服务器。访问htt://localhost:8080/能正常访问tomcat管理页面。 症状原因:        e
页面跳转与重定向(之二)
oscar999的专栏
05-29 1万+
这一篇是接着上一篇的继续 页面跳转与重定向(之一) 在上一篇中, 介绍了在html,js 和JSP中如何跳转和重定向。 基本是在页面层级进行页面的跳转, 进入一个页面后跳入另一个页面。 这一篇将从项目和服务端来看看有可能在实际的项目中使用到的状况。
tomcat配置301重定向
weixin_30532759的博客
07-23 151
tomcat默认情况下不带www的域名是不会跳转到带www的域名的,而且也无法像apache那样通过配置.htaccess来实现。如果想要把不带“www'的域名重定向到带”www"域名下,又不想写代码,可以使用UrlRewriteFilter来实现。 1.简介 urlRewriteFilter是一个用于改写URL的Web过滤器,类似于Apache的mod_rewrite。...
tomcat配置url跳转
最新发布
06-13
要将一个 URL 跳转到另一个 URL,可以使用 Tomcat 的重定向功能。在 Tomcat 中,可以使用以下几种方法实现 URL 跳转: 1. 使用 <redirect> 标签 在 web.xml 文件中配置一个 <redirect> 标签,将要重定向的 URL 作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值