问题分析:URL设置成公开,访问还会被拒绝?

于 2023-03-12 22:46:36 发布
阅读量356 收藏
点赞数
分类专栏: SpringSecurity 文章标签: tomcat java servlet Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/129482746
版权

使用SpringMvc和SpringSecurity时,把一个不存在的URL的设置成公开访问,并在未登录的状态下访问了,结果会返回404吗?

答案并不会,这会触发两种错误处理机制。

  • 当URL不存在时,会触发SpringMvc的错误处理机制,将请求重定向给错误页,页面显示404

  • 当未登录时,会触发SpringSecurity的权限校验机制,没登录会触发AccessDeniedException 异常,从而转到登录页。

这两个机制下,最终SpringSecurity会胜利,所以看到的是没权限访问。这时就会让人很懵逼,明明把URL设置了公开访问,怎么还会被拒绝?正常请求时不太会遇到这个问题,一般是在开发阶段,拼错或修改了URL,造成URL不存在。

原因分析

SpringMvc的错误处理机制,当URL不存在时,会给response打上error标签。然后会触发tomcat的错误处理机制,默认是重定向到/error错误页面。/error是由BasicErrorController 处理,MediaType是ext/html的会返回错误页面,其他情况返回ResponseEntity对象。

所以当请求重定向到/error时,会被Spring Security拦截并校验权限,未登录的情况就被拒绝了。

解决办法

方法一

权限主要是防范客户端发来的请求,对于内部转发类型的请求类型可以默认信任,所以只要调整Security Filter支持的DispatherType,只拦截request和async类型。application.yml的配置:

spring:
   security:
      filter:
          dispatcher-types: request,async

方法二

放开对/error页面的权限校验,就是要注意错误页面的地址是可以修改的,默认获取的方法是${server.error.path:${error.path:/error}}

@Value("${server.error.path:${error.path:/error}}")
public String errorPagePath;

http.authorizeHttpRequests(it -> it
        .requestMatchers(new AntPathRequestMatcher(errorPagePath)).permitAll()

其他方法

另外一个思路是在SpringMvc处理请求时,发现请求地址不存在的时候,选择抛出异常,而不是在Response里返回404状态,进而触发Tomcat的错误处理机制,这里就不再展开。

李昂的数字之旅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
URL参考、公开
ha_123_qq的博客
06-22 313
从优秀走向卓越的第一步 https://ke.qq.com/course/308783 索引
公开的WMS URL收集列表
08-10
公开的WMS URL收集列表 WMS URL Web Map Server WMS Server列表 1. NASA JPL Web Mapping Server 2. Cubewerx Demonstration Server 3. DM Solutions GMap Server 7. NASA GLOBE Program
java url连接被拒绝_Java 中常见的 URL 问题及解决方案
weixin_39549312的博客
02-24 1400
URL 无处不在,不过似乎开发人员并没有真正地理解它们,因为在 Stack Overflow 上经常看到有人在问如何正确的创建一个 URL 。想知道 URL 语法是如何工作的,可以看下兄弟连教育( www.lampbrother.net )总结的这篇文章,非常不错。本文不会深入介绍 URL 的全部语法,这是我们发布的一个用于正确地创建 URLJava 库。问题 1 : JavaURLE...
关于访问自己服务器显示无法访问此网站拒绝了我们的连接请求。
weixin_43675252的博客
08-16 8725
在重启服务器后出现不能访问服务器, 先是检查自己的DNS,调整为正常 再关闭自己的防火墙发现也失败。 最后发现自己Nginx没有启动导致。 记录自己重启服务器后应该: Tomcat Jenkins 宝塔 mysql Nginx:service nginx restart ...
公开)获取URL的参数
公z号:职场爱学习
06-25 376
有时候,如果需要避免参数重复出现的问题,就可以使用以下的方式。这样可以避免调用接口报错。因为重复的参数,在调用接口时,会变成一个数组。 在PC网页,或者H5中,这个方法特别有用。 //获取URL的参数 function getUniqueParamFromUrl(name) { let url = window.location.href; let index = url.indexOf(’?’); if(index != -1) { let data = {}; let params = url.subs
keepassnatmsg:KeePass插件可使用本机消息安全地将凭据公开给浏览器
05-26
用户可以允许或拒绝访问单个条目 仅在数据库未锁定的情况下有效 请求解锁数据库(如果数据库在连接时被锁定) 在所有打开的数据库中搜索(如果用户激活了此功能) 无论何时发生事件,都会通过托盘通知或请求交互...
网络安全拒绝盗号教程
05-24
根据提供的标题“网络安全拒绝盗号教程”以及描述“保护自己账号安全,拒绝盗号,十分有用的教程”,我们可以归纳出以下几个重要的网络安全知识点: ### 一、账号安全意识的重要性 在互联网日益普及的今天,几乎每...
Web应用安全:Nginx禁止目录列出配置.pptx
06-18
目录遍历攻击是一种常见的Web安全威胁,攻击者尝试通过在URL中添加特定的路径或文件名,如"../"或"/*53.pdf",来访问服务器上原本不应该公开的目录和文件。这种攻击可能导致数据泄露、服务中断甚至完全控制服务器。...
目录扫描+JS文件中提取URL和子域+403状态绕过+指纹识别
最新发布
02-06
工具如`DirBuster`或本例中的`dirsearch`可以生成一个字典,包含可能的文件名和路径,然后尝试访问这些路径,找出有效的URL。通过这种方式,我们可以检测出管理员可能忽略的安全问题,比如未删除的备份文件、开发...
http403常见问题总结
04-12
在 IIS (Internet Information Services) 这样的Web服务器环境中,403 Forbidden 错误会被进一步细分为多种子状态码,以便于更精确地诊断问题所在。以下是 IIS 7.0 中定义的部分 403 子状态码及其含义: - **403.1 ...
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
Security详解
myli92的博客
05-12 1093
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
前后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 4640
前后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
ServerHttpSecurity设置pathMatchers.permitAll失效,仍然401.
慢慢的博客
01-26 6338
ServerHttpSecurity401,修改anyExchange访问
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
springsecurity登录功能拦截_Spring Security 自带防火墙!你都不知道自己的系统有多安全
weixin_39757122的博客
11-26 1346
之前有小伙伴表示,看 Spring Security 这么麻烦,不如自己写一个 Filter 拦截请求,简单实用。自己写当然也可以实现,但是大部分情况下,大家都不是专业的 Web 安全工程师,所以考虑问题也不过就是认证和授权,这两个问题处理好了,似乎系统就很安全了。其实不是这样的!各种各样的 Web 攻击每天都在发生,什么固定会话攻击、csrf 攻击等等,如果不了解这些攻击,那么做出来的系统肯定也...
squid 传统代理中出现“错误 您所请求的网址(URL)无法获取”访问拒绝
weixin_49022211的博客
10-30 5254
做传统squid代理时,通过设置打开计算机的代理设置,访问web,最后验证发现访问拒绝。出现“错误 您所请求的网址(URL)无法获取” 解决方法: 关闭手工设置代理,查看web访问是否可行 打开squid主配置文件 [root@squid init.d]# vim /etc/squid.conf http_access deny all ##这一行的注释掉 http_access allow all ###添加 允许访问所有策略 如下图所示: 重新启动squid服务 [root.
“域名:端口“形式的URL显性及隐性转发
慕尘蒿
09-12 5143
关键词: URL转发 / URL显性转发 / URL隐性转发 / URL隐性转发服务器拒绝连接 域名:端口模式如何映射到二级域名 Docker映射端口如何以域名形式访问 项目场景: 在阿里云服务器的Ubuntu系统中,基于Apache2+Docker搭建的服务器,其访问形式为域名:端口模式。 例如:利用Docker搭建的服务器,并将服务器8555端口映射至Docker容器。同时在阿里云上开放8555端口的访问权限。假设服务器域名已经备案,且其地址为www.example.com。 那么访问本次Docker
克隆时报错The requested URL returned error: 403
09-13
请确认您正在尝试访问的资源是公开可见的,或者您有足够的权限来访问它。 另外,请确保您使用正确的命令和URL来克隆资源。检查URL是否正确拼写,并确保您使用了适当的协议(例如https://或git://)。 如果问题仍然...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值