springboot logback 日志注入安全问题 统一处理

最新推荐文章于 2024-06-02 23:11:32 发布
最新推荐文章于 2024-06-02 23:11:32 发布
阅读量541 收藏 2
点赞数 3
文章标签: spring boot logback 日志注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44670774/article/details/138853640
版权

背景

日志注入一般指的是恶意用户输出换行等内容,混淆正常的日志,导致排查问题是无法正确定位问题,因此,我们需要对要打印的日志内容进行过滤。
但是,如果是每个接口单独处理的话,成本较高,因此,我们需要一个统一处理的机制。

当然,统一处理可能会误伤正常的日志,这个需要自己进行斟酌了。我们在绝大情况下不会在打印日志的内容中使用换行等特殊字符,所以这样处理我认为是比较稳妥的。

这个处理仅会对用户输入的参数进行处理,不会对堆栈的正常的内容处理,所以大部分的日志是可以正常打印出来的。

方案

springboot集成的logback,其配置文件是 org/springframework/boot/logging/logback/base.xml,其默认参数配置都在org/springframework/boot/logging/logback/defaults.xml。我们不打算修改这些配置,而是沿用。

我们对logback进行定制,spring集成的默认log_pattern为:-%clr(%d{${LOG_DATEFORMAT_PATTERN:-yyyy-MM-dd'T'HH:mm:ss.SSSXXX}}){faint} %clr(${LOG_LEVEL_PATTERN:-%5p}) %clr(${PID:- }){magenta} %clr(---){faint} %clr(%applicationName[%15.15t]){faint} %clr(${LOG_CORRELATION_PATTERN:-}){faint}%clr(%-40.40logger{39}){cyan} %clr(:){faint} %m%n${LOG_EXCEPTION_CONVERSION_WORD:-%wEx}},中间可以全部不管,输出的重点就是靠后部分的%m,这个是一个Converter,对消息进行处理,默认是不进行任何处理,直接输出原消息,我们对他进行定制。

我们自定义自己的Converter:


import ch.qos.logback.classic.pattern.ClassicConverter;
import ch.qos.logback.classic.spi.ILoggingEvent;
import org.slf4j.helpers.MessageFormatter;

/**
 * @author 
 */
public class LineSeparatorConverter extends ClassicConverter {
    @Override
    public String convert(ILoggingEvent event) {
        Object[] argumentArray = event.getArgumentArray();

        // 没有用户传入的参数,直接返回
        if (argumentArray == null || argumentArray.length == 0) {
            return event.getFormattedMessage();
        }

        Object[] argumentArrayProcessed = new Object[argumentArray.length];

        for (int i = 0; i < argumentArray.length; i++) {
            Object o = argumentArray[i];
            if (o == null || o instanceof Throwable) {
                argumentArrayProcessed[i] = o;
            } else {
                String oString = o.toString();
                argumentArrayProcessed[i] = cleanLineSeparator(oString);
            }
        }
        return getFormattedMessage(event.getMessage(), argumentArrayProcessed);
    }

    public String getFormattedMessage(String message, Object[] argumentArray) {
        String formattedMessage;
        if (argumentArray != null) {
            formattedMessage = MessageFormatter.arrayFormat(message, argumentArray).getMessage();
        } else {
            formattedMessage = message;
        }

        return formattedMessage;
    }

    private String cleanLineSeparator(String line) {
        if (line == null || line.isEmpty()) {
            return line;
        }

        return line.replace("\n", "\\n").replace("\r", "\\r");
    }

}

然后,声明logback-spring.xml,使用spring的默认配置,并且覆盖%m的默认Converter,改成我们自己的

<?xml version="1.0" encoding="UTF-8"?>

<configuration scan="true" scanPeriod="60 seconds" debug="false">

    <include resource="org/springframework/boot/logging/logback/base.xml"/>
    <!-- 将默认的输出器改为自定义输出器,会替换掉换行符,防止日志注入 -->
    <conversionRule conversionWord="m"
                    converterClass="xxx.LineSeparatorConverter"/>

</configuration>

如果放到了resources目录下,该文件应该可以正常识别到,不需要额外配置。
如果日志处理是一个maven的子模块,那就手动声明一下文件位置
logging.config=classpath:logback-spring.xml
如果放到其他目录,写成:logging.config=file:/xxx/xxx/logback-spring.xml

夏木瑾苏1
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBootlogback日志保存到mongoDB的方法
08-28
主要介绍了SpringBootlogback日志保存到mongoDB的方法,
springboot+logback输出日志文件1
08-08
springboot+logback输出日志文件1
Spring Boot异步输出Logback日志方法详解
08-25
主要给大家介绍了关于Spring Boot异步输出Logback日志的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBoot logback日志框架使用过程解析
08-24
主要介绍了SpringBoot logback日志框架使用过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot Logback日志记录到数据库的实现方法
08-25
主要介绍了SpringBoot Logback日志记录到数据库的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
关于SpringBoot 如何动态切换 logback 日志的输出级别
ZhShH0413的博客
03-08 1511
本文介绍了在SpringBoot应用中如何动态设置Logback日志的输出级别,并且不影响服务正常运行。通过接口方式实现日志级别的动态调整,可以方便地适应不同环境、不同业务场景下的日志需求,提高开发和运维的效率。在实际应用中,还需要注意线程安全、配置刷新和权限控制等问题
SpringBoot 3.2.0 基于Logback定制日志框架
大橘的博客
12-25 1045
基于SpringBoot内置的logback日志框架,实现定制化日志打印,保存。通过MDC机制将业务溯源信息通过日志保存,对日志进行统一操作,优雅完成日志记录。
springboot+logback日志来发送异常信息邮件
王林冲的博客
07-08 1061
系统异常了,上篇是通过在全局异常中通过调用发送邮件的处理器代码进行邮件的发送,总是觉得还不那么优雅这篇是通过扩展 logback日志插件来处理 err 级别的日志异常信息来发送邮件的通过这篇的学习,可以掌握如何扩展 logback日志类,来实现自己不可告人的目的。...
SpringBoot项目logback日志配置
abc_138的博客
01-31 1161
程序运行出现错误时,第一时间想到的是甩锅还是日志?通过查看日志定位出问题的位置,才能更好的甩锅,今天就来学习 springBoot 日志如何配置。
SpringBoot-AOP-Logback用切面拦截操作日志(业务操作日志记录/拦截器VS过滤器)
usa_washington的博客
09-14 911
SpringBoot-AOP-Logback
Logback日志框架使用详解以及如何Springboot快速集成
凡夫编程
10-08 1315
Logback和Log4j都是为Java应用程序提供的比较流行的开源日志框架,它们都由同一个开发者创建和维护,但在功能和性能上存在一些差异,Logback可以认为是log4j的改进版,在性能、配置应用上都要优于log4j,Logback主要由三个模块构成:logback-core,logback-classic和logback-access。其中,logback-core是其他两个模块的基础,提供了Logback的核心功能。logback-classic模块实现了简单日志门面SLF4J,而logback-a
Spring Boot项目中使用Logback日志与使用AOP拦截请求日志信息
pikcacho_pkq的博客
10-31 1893
日志记录了系统行为的时间、地点等很多细节的具体信息,在发生错误或者接近某种危险状态时能够及时提醒开发人员处理,往往在系统产生问题时承担问题定位与诊断和解决的重要角色。一般很多线上的问题只能通过进行日志分析才可以解决的,所以需要明确日志在日常开发环节中是十分重要的。
logback详解
sinat_23324343的博客
03-26 286
文章目录前言一、logback的介绍二、logback取代log4j的理由三、logback的配置介绍四、logback的默认配置五、logback.xml常用配置详解六、常用logger配置七、Demo八、总结 前言 由于之前日志管理一直使用的是log4j,在使用Spring Boot后,接触到了Logback,默认情况下,spring boot使用Logback作为日志实现的框架。当时有个项目...
代码安全系列(1) - Log的注入
weixin_33868027的博客
12-15 272
简介 我们编写了大量的程序,但程序总是出现莫名其妙的异常,因此我们使用日志模块,详细记录程序执行的步骤,以求追踪和定位问题。也许这是大多数程序员对日志的理解,跟踪和调试程序成了日志的主要职责。其实,日志的作用远非如此,当某天突然发现我们的系统被人非法入侵,删除了大量用户资料时,我们记录的日志成了最好的追踪骇客的工具。假如,我们的日志被骇客无情的篡改,后果将不堪设想。因此,日志模块虽小,安全性却尤...
[AIGC] Spring Boot 2 自定义 Starter 指南
程序员三木的博客
05-29 593
Spring Boot 包含一系列的 “Starter POMs”,它们都是一些方便的依赖描述符,你可以在你的应用中导入。在一些情况下,你可能想创建自己的自定义 starter。以下是创建自己的 Spring Boot Starter 的步骤。
Java Logback 基本操作
xy的博客
05-30 257
配置 maven : JavaWeb开发中的Maven使用_javaweb项目中如何使用manven项目-CSDN博客配置 eclipse : eclipse新建Maven web项目全过程-CSDN博客下载地址: Maven Repository: ch.qos.logback » logback-classic (mvnrepository.com)pom.xml 内容如下: 在 resources 目录下创建 logback.xml 4.2.3 日志效果 执行完毕后将会生成文本文
logback删除日志文件和文件夹
最新发布
阿昊的博客
06-02 305
logback删除日志文件和文件夹
SpringBoot如何使用日志Logback,及日志等级详解
分享学习
05-29 890
Spring Boot默认已经集成了SLF4J(Simple Logging Facade for Java)作为日志的接口,以及Logback作为日志的实现。这意味着在大多数情况下,你无需做额外的配置即可开始记录日志。下面是一个简要的指南,包括如何在Spring Boot应用中使用SLF4J和Logback,以及一些实际的代码示例。
springboot集成mongodb+logback实现日志存储的实例
02-06
好的。下面是 Spring Boot 集成 MongoDB 和 Logback 实现日志存储的示例: ...6. 最后,在 Spring Boot 应用中启动 Logback,并使用 Autowired 注入 LogRepository,然后在需要记录日志的地方调用 log

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值