屏蔽swagger中的v2/api-docs和v3/api-docs防止恶意攻击

黎明晓月

已于 2024-08-28 10:23:09 修改

阅读量3.5k

点赞数 2

文章标签： java

于 2024-08-28 10:20:42 首次发布

本文链接：https://blog.csdn.net/weixin_42949219/article/details/141633542

版权

屏蔽swagger中的v2/api-docs和v3/api-docs防止恶意攻击

在java开发中，我们经常使用Swagger来生成API文档，但是这是在测试环境中，在生产环境中为了防止恶意攻击需要屏蔽文档页面的获取和json格式的文档。

Swagger的简单使用：
https://blog.csdn.net/weixin_45683778/article/details/136211224
https://blog.51cto.com/u_16213348/10765796

屏蔽方式

在配置文件中配置如下即可：

springfox:
  documentation:
    swagger-ui:
      enabled: false
    auto-startup: false

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

黎明晓月

关注关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

API文档爬虫：抓取和解析API平台的文档数据

2201_76125261的博客

03-30

1257

随着API（应用程序编程接口）的普及，许多平台和服务通过API为开发者提供访问其功能的接口，涵盖了从数据获取、消息推送到图像识别、机器学习等广泛的应用领域。API文档是使用API的关键资源，它通常包含API的端点、参数、响应格式、示例代码等信息。在开发过程中，很多开发者需要频繁查阅API文档，获取API的详细信息。本文将通过Python编写一个API文档爬虫，帮助开发者自动抓取各种API平台上的文档数据，分析并将其转换为结构化的格式，以便进一步的使用与处理。选择API文档的目标平台；架构与技术选型。

API安全学习笔记

Hacker_LaoYi的博客

12-27

2463

诸如apikey 或者随机生成的其他形式的token。

1 条评论您还未登录，请先登录后发表或查看评论

swagger关闭/v2/api-docs仍然可以访问漏洞

zy_crazy_code的博客

03-07

1万+

swagger、/v2/api-docs访问漏洞

【swagger关闭】生产环境关闭swagger方法

热门推荐

m0_67391401的博客

07-31

2万+

先自我介绍一下，小编13年上师交大毕业，曾经在小公司待过，去过华为OPPO等大厂，18年进入阿里，直到现在。深知大多数初中级java工程师，想要升技能，往往是需要自己摸索成长或是报班学习，但对于培训机构动则近万元的学费，着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家，初衷也很简单，就是希望帮助到想自学又不知道该从何学起的朋友，同时减轻大家的负担。添加下方名片，即可获取全套学习资料哦。原理跟第一个差不多，只是判断条件不同（profile判断配置文件，也即的参数）...

屏蔽swagger中的xxxxx/v2/api-docs，防止恶意攻击

weixin_44927830的博客

04-16

3846

只需要在bootstrap.yml文件中添加：springfox:

spring boot解决swagger中的v2/api-docs泄露漏洞

爱米酱的博客

01-07

869

spring boot解决swagger中的v2/api-docs泄露漏洞

记一次自定义拦截器拦截/v2/api-docs失效的问题排查

m0_50932526的博客

05-30

4427

项目中使用swagger来自动生成接口文档，为了防止接口文档地址在外网被访问，需要对swagger的静态资源链接以及动态接口请求根据host属性做一些处理，使得外网域名不能访问接口文档地址。一个容易想到的办法就是通过Spring的Interceptor来实现，在preHandle方法中对swagger的请求路径做拦截。

如何禁用 Swagger 的 /v3/api-docs 暴露对外的接口

verylonglongago的博客

09-10

1878

禁用 Swagger /v3/api-docs 暴露的接口

在生产环境关闭swagger

凌晨港口

05-10

9564

在服务中引入了swagger文档，但在生产环境需要屏蔽；否定请求可以看到所有api；

api-docs:API文档

03-06

Tiendanube / Nuvemshop API 这是一种REST风格的API，使用JSON进行序列化，并使用OAuth 2进行身份验证。我从哪里开始？想开始使用API集成吗？这是一个快速检查清单：在或注册为合作伙伴。进入合作伙伴的管理面板后，转到“应用”部分并创建您的应用。阅读有关通过我们您的应用的信息。阅读API文档，以了解您可以对应用程序执行的操作。提出请求所有URL均以https://api.tiendanube.com/v1/{store_id}或https://api.nuvemshop.com.br/v1/{store_id}开头。仅SSL 。该路径以商店ID和API版本为前缀。如果我们以向后不兼容的方式更改API，我们将破坏版本标记并保持对旧URL的稳定支持。因此，如果您想通过API访问ID为123456的商店，则URL为ht

集成swagger2的时候swagger-ui.html页面的v2/api-docs接口报404

gongli109的专栏

04-04

1839

groupName 是一个空字符串，难道是这个groupName也需要设置就是需要设置一个分组名称。集成swagger2的时候swagger-ui.html页面的v2/api-docs接口报404。尝试网上说的权限、包版本不一致、资源路径映射问题，发现都没有问题。在配置Docket的地方设置groupName属性。单独访问v2/api-docs接口的时候报。

gateway网关统一管理swagger

04-29

public static final String API_URI = "/v2/api-docs"; private final RouteLocator routeLocator; private final GatewayProperties gatewayProperties; public GatewaySwaggerProvider(RouteLocator ...

SpringCloud集成swagger报错Internal Server Error http://localhost/project-service/v2/api-docs

JennyTheArtist的博客

05-11

4195

使用springcloud gateway集成swagger，访问http://localhost:网关接口/swagger-ui.html出现：原因是网关的路由断言没有路径剥离，我只是想访问的路径少一个服务名而已：但此时服务swagger json文件的调用路径是http://localhost:8000/v2/api-docs，如果不剥离路径，网关路由后将访问http://localhost:8000/product/v2/api-docs。贴一个网关代码： SwaggerHandler： @

SpringBoot3+Springdoc：v3api-docs可以访问，html无法访问的解决方法

最新发布

m0_74824661的博客

02-15

685

pom.xml引用如下（springdoc相关的只有这一个，理论上说，要跑springdoc或者叫它swagger3，除了springboot，加这个就可以了，不需要任何配置类配置、application.properties/yaml配置！spring配置类里配一下swagger-ui的资源路径，然后访问/swagger-ui/index.html就好了。访问(我配的端口是18080)：localhost:18080/swagger-ui/index.html。（当然，你跑通了之后需要自定义配置了再配）

API接口测试/Swgger-ui未授权访问

qq_68163788的博客

07-03

2883

API（Application Programming Interface）是应用程序开发接口的缩写，意思是一些预设好的函数或方法，这些预设好的函数或方法允许第三方程序通过网络来调用数据或提供基于数据的服务。 Web API是网络应用程序接口。包含了广泛的功能，网络应用通过API接口，可以实现存储服务、消息服务、计算服务等能力，利用这些能力可以进行开发出强大功能的web应用。

springfox 源码分析(十七) Swagger2接口文档示例接口api-docs

八一菜刀的专栏

10-10

3458

前面已经获取得到了swagger的分组接口信息了,接下来就是根据分组名称获取每个分组的Swagger资源详细信息,在springfox中提供了/v2/api-docs接口来进行获取来看接口的源码 @Controller @ApiIgnore public class Swagger2Controller { public static final String DEFAULT_URL...

API接口管理平台解决方案

王者归来

12-05

5532

背景和目的 Swagger 在目前企业中作为前后端开发对接的技术已经得到了非常广泛的应用，后端开发人员只需要根据 OpenAPI 官方定义的注解就可以把接口文档非常丰富的呈现给前端接口对接人员。并且接口文档是随着代码的变动实时更新，同时提供了在线 HTML 文档辅助开发人员可以进行接口联调测试，这大大省去了技术人员写文档的烦恼，也提升了企业开发的效率，减少沟通成本。代码变，文档变。只需要少量的注解，Swagger 就可以根据代码自动生成 API 文档，很好的保证了文档的时效性。跨语言性

springboot + swgger遇到的坑 - 通过网关聚合文档时请求地址‘/v2/api-docs‘发生空指针异常，但单独打开服务的接口确正常

u010713726的博客

03-08

924

而通过网关聚合调用接口“/v2/api-docs”时报异常，最终通过断点跟踪发现所写的接口里参数设置不规范导致，如请求地址中的/path/{id} => func(@PathVariable("id") String dataId)这种写法，以及 ApiImplicitParam(name="name") 对应方法参数里的username等不统一的写法很可能会导致异常。同样api注解里的参数说明包含特殊字符时也可能导致异常，如斜杠(/)。多检查，除了配置问题外，一般是接口参数写法问题导致！

spring cloud 整合swagger 3.0 生成接口文档

ly的博客

04-29

2818

springcloud、swagger 3.0 接口文档

"schemaValidationMessages":[{"level":"error","message":"Can't read from file https://petstore.swagger.io/v3/api-docs"}]}

01-02

### 解决方案当遇到 `Can't read from file https://petstore.swagger.io/v3/api-docs` 错误以及 `schemaValidationMessages` 提示时，通常是因为 Swagger UI 尝试访问的 API 文档 URL 不可用或路径不正确。 #### 修改默认 API 文档 URL 对于本地开发环境或其他自定义部署场景，应当调整 Swagger UI 配置以指向正确的 API 文档位置。具体操作是在 `swagger/index.html` 文件内更改默认请求的远程地址为本地服务端口下的资源路径[^1]： ```html  url: "https://petstore.swagger.io/v2/swagger.json"  url: "http://{ip}:{port}/{projectName}/api-docs" ``` 其中 `{ip}`、`{port}` 和 `{projectName}` 应替换为实际的服务 IP 地址、监听端口号及项目名称。例如，如果应用运行于本机且监听 8080 端口，则应设置成 `"http://localhost:8080/myProject/api-docs"` 形式的字符串。 #### 使用静态 JSON 文件作为数据源另一种方法是利用已有的 API 描述文件（如 swaggerTest.json），将其放置在 Web 可访问的位置，并让 Swagger UI 加载此静态文件而不是尝试在线获取动态生成的内容[^2]。这可以通过更新配置来实现： ```javascript // JavaScript 方式设定初始显示的文档链接 window.onload = function() { const ui = newSwaggerUIBundle({ url: "/path/to/swaggerTest.json", // 替换成真实路径 dom_id: '#swagger-ui', deepLinking: true, presets: [ SwaggerUIBundle.presets.apis, SwaggerUIStandalonePreset ], plugins: [ SwaggerUIBundle.plugins.DownloadUrl ], layout: "StandaloneLayout" }) } ``` #### 检查网络连通性和权限除了以上措施外，还需确认目标服务器能够正常响应 HTTP 请求并返回有效的 OpenAPI 定义文档。确保防火墙规则允许外部访问必要的端口和服务接口；另外要验证所使用的 URL 是否存在跨域资源共享 (CORS) 限制问题，必要时需适当放宽 CORS 设置以便前端顺利拉取后台提供的 API 数据[^4]。