acegi处理URL重定向的问题

最新推荐文章于 2019-04-03 12:04:07 发布
最新推荐文章于 2019-04-03 12:04:07 发布
阅读量235 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiongcancan/article/details/79554716
版权

漏洞URL:

http://urlDomain/LecManager/j_spring_security_check?j_password=123456&j_username=admin&spring-security-redirect=http://www.vulnweb.com

通过该地址可以重定向到http://www.vulnweb.com


解决方案:

修改org.codehaus.groovy.grails.plugins.springsecurity.RedirectUtils的sendRedirect方法,对redirect的地址进行验证,限制只能访问urlDomain及下属URL

static void sendRedirect(
			HttpServletRequest request,
			HttpServletResponse response,
			String url) throws IOException {

		String redirect = buildRedirectUrl(request, response, url)
		//URL重定向漏洞修复
		if(!redirect.contains(request.getServerName())){
			redirect = ""
		}
		response.sendRedirect(response.encodeRedirectURL(redirect))
	}

volcano_b
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Acegi学习笔记(JAVA系统安全编程时用到)
06-30
Acegi学习笔记(JAVA系统安全编程时用到),我就用到了Acegi,真的太牛了。
acegi参考的部分翻译
03-03
本文档是"Spring框架下Acegi安全系统"(AcegiSecuritySystemforSpring)的一份参考指南,Acegi安全系统是由一序列类构成,这些类为Spring框架提供认证和授权服务。第一章安全1: 准备Acegi通过对流行的WEB容器的可选...
acegi security实践教程—logoutFilter应用以及调试
webdev
03-07 151
一个完整的系统应该都要注销功能。先不着急先代码,首先想象一下,注销后,该出现什么页面呢? 注销后,是不是应该回到登陆页面,让用户重新登录,然后再重新判断过滤权限,一切从头开始。 具体开发步骤: 开发环境: MyEclispe10.7.1+tomcat6.0.37+acegi1.0.5+spring2.0 项目目录如下: 其中readme主要用来记录本次验证目的 ...
Acegi配置(转)
♂♀
07-30 111
Acegi配置(转) 2010-07-30 18:51 1.Acegi认证与授权1.1在Web.xml中添加    <!--acegi 的filter链代理-->     <filter>        <filter-name>Acegi Filter Chain Proxy</filter-name>        <filter...
response.sendRedirect("要重定向url"),重定向无效问题
Irving_Ma的博客
04-03 1万+
问题描述: springboot项目中,过滤器拦截ajax请求,被拦截之后,使用response.sendRedirect("要重定向url")重定向失败,一直走error。 问题分析: sendRedirect重定向的状态码为302,客户端发出非GET、HEAD请求后,收到服务端的302状态码,那么就不能自动的向新URI发送重复请求,除非得到用户的确认。很多浏览器都把302当...
Acegi_db1.rar_acegi
09-23
ACEGI数据库保存 ACEGI数据库保存 ACEGI数据库保存
acegi-sample.rar_acegi
09-19
安全框架 Acegi 的主要功能示例Project
Acegi安全系统介绍(一)
02-21
Acegi是SpringFramework下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如:完善的认证和授权机制,Http资源访问控制,Method调用访问控制,AccessControlList(ACL)基于对象实例的访问控制,...
iframe和response.sendRedirect使用的问题
wsldl123292的专栏
10-14 854
一般使用filter过滤用户是否登录,如果用户没有登陆则转向登陆页面,这时候可以使用response.sendRedirect()。 但当在页面上使用了iframe后,发现被重定向的只是父页面中的iframe区域,登陆页面内容显示在该区域中。说明在过滤器中发送重定向请求时,是在iframe页面发送的。错误的代码如下: Java代码 HttpServletRequest
Filter中的sendRedirect重定向
qq_20867981的博客
07-15 1万+
写了个filter,检查session,如果session为空,那么跳转到error.jsp页面.package com.htxx.interceptor; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterCo...
acegi配置文件:applicationContext-acegi-security.xml
Mokily的专栏
07-27 800
(View Source for full doctype...)> - beans default-lazy-init="false" default-autowire="no" default-dependency-check="none"> FilterChainProxy会按顺序来调用这些filter,使这些filter能享用Spring ioc的功能,
JMeter做压力测试,先调用第一接口,拿到返回值后去调用第二个接口(小白级入门)
xiaolyuh的专栏
01-29 1万+
1、打开界面建立线程组,并取一个名称2、线程组下创建一个http请求,并进行配置3、指定动态参数名字必须和上面第二步接口中${XXX}符号里面的名称保持一致4、添加一个响应断言5、添加一个全局的查看结果树6、提取参数名字必须和下面接口中${XXX}符号里面的名称保持一致7、建立下一个http请求,并进行配置8、添加一个http头管理器,和响应断言9、添加聚合报告
acegi 权限认证框架中如何直接获取受保护url资源
tju_ZhangJ的专栏
05-19 126
这些天在开发一个SSH框架的web项目,里面用到了acegi的权限认证框架,将受保护的资源放入相应的文件夹下,如/admin目录下的文件只有拥有admin的权限才可以访问,现在碰到一下问题,就是当我用admin权限登录后,通过action处理后可以跳转到相应的页面,而当我在页面中直接请求url时,却被acegi屏蔽了,无法访问。 还有就是我想在当前窗口中弹出一个页面对话框,用于显示部分信息,但由...
sendRedirect和forward原理及区别总结
fool宋的专栏
03-18 3322
一、原理.  1、 Forward        该图的交互过程如下: ① 浏览器访问Servlet1。 ② Servlet1想让Servlet2对客户端的请求进行响应,于是调用forward()方法,将请求转发给Servlet2进行处理。 ③ Servlet2对请求做出响应。 交互过程可以看出,调用forward()方法,对浏览器来说是透明的,浏览器并不知道为其服务的Ser
Spring MVC中redirect重定向3种方式(带参数)
热门推荐
一勺菠萝丶的博客
12-06 10万+
Spring MVC中做form表单功能提交时,防止用户客户端后退或者刷新时重复提交问题,需要在服务端进行重定向跳转,其中redirect是直接跳转到其他页面,有以下3种方法进行重定向。 redirect重定向流程 客户发送一个请求到服务器,服务器匹配servlet,这都和请求转发一样,servlet处理完之后调用了sendRedirect()这个方法,这个方法是response的方法,所以,......
答复: 请教acegi问题 登陆后跳转到 http://127.0.0.1/favicon.i
wuzhongxing的专栏
04-23 256
我也碰到过同样的问题,我的做法是在 中去掉 也可能你的配置中没有这两个bean,把不必要的bean去掉,我这里只留一个基于数据库的认证daoAuthenticationProvider 还有就是更改 中的/default.action使其跳转到有意义的地方,可以是默认页,做如上修改后问题解觉了,不知道具体是哪个影响的,先给你一个小提示,等项目完成了再去仔细...
Spring security --- Acegi部分配置信息
boy00fly的专栏
07-31 2749
          认证处理过滤器authenticationProcessingFilter的配置 bean   id = "authenticationProcessingFilter"   class = "org.acegisecurity.ui.webapp.AuthenticationProcessingFilter" >         property   nam
$("form").attr("action",document.location.origin+'/j_acegi_security_check');
最新发布
05-30
其中 '/j_acegi_security_check' 可能是用于身份验证或授权的 URL 地址。此代码片段使用了 jQuery 库中的 attr() 方法来设置表单的 action 属性。同时,也使用了 document.location.origin 属性来获取当前页面的域名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值