SpringSecurity解决路径中含有%2F的问题

于 2024-03-17 01:58:53 发布
阅读量994 收藏 26
点赞数 18
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zekdot/article/details/136773857
版权

近期有个需求要求Controller可以处理URL中有%2F的请求,比如:

@RestController
@RequestMapping("/hello")
public class HelloController {

    @GetMapping("/name/{path}")
    @ResponseBody
    public String test(@PathVariable String path) {
        return path;
    }
}

请求URL可以是:http://localhost:8080/hello/name/test%2F123

原始的Spring也是不支持路径中有%2F的情况的,直接请求页面会直接报错,但是这种情况已经能搜到很多处理方式了,我亲测最简单且有效的方法就是在Spring启动类中,增加如下语句允许SLASH出现。

public static void main( String[] args ) {
    System.setProperty("org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH", "true");
    SpringApplication.run(App.class, args);
}

解决Spring的问题之后,如果路径中还是有%2F,访问URL会出现如下的错误:

Whitelabel Error Page
This application has no explicit mapping for /error, so you are seeing this as a fallback.

Sun Mar 17 01:19:43 CST 2024
There was an unexpected error (type=Internal Server Error, status=500).
The requestURI cannot contain encoded slash. Got /xxx/xxx/test%2F123

这个错误就是Spring Security抛出的,如果观察控制台,也可以看到响应的堆栈打印:

org.springframework.security.web.firewall.RequestRejectedException: The requestURI cannot contain encoded slash. Got /security/name/test%2F123
	at org.springframework.security.web.firewall.DefaultHttpFirewall.getFirewalledRequest(DefaultHttpFirewall.java:62) ~[spring-security-web-4.2.9.R

因此正式进入Spring Security的处理环节,这里我给出了三种方案,分别应对安全程度从低到高的场景,当然DIY程度也是从小到大,如果是自己的项目,只是单纯的想消除这个讨厌的requestURI cannot contain encoded slash,建议使用方式一就行。

方式一:全局处理%2F存在

这个方案其实有博主已经提到了:https://www.jb51.net/program/290154s0s.htm

但是我按这个操作之后发现还是不生效,后来还是在Stack Overflow上才发现这里只是新建了Bean,没有注入,那当然毛用没有了。。

在继承了WebMvcConfigurerWebMvcConfig写入如下代码,这里如果不配置的话,后面即使允许slash也会404,应该是Spring把%2F转换为/所以不匹配Controller,方式三就不用这步了。

import org.springframework.context.annotation.Configuration;
import org.springframework.format.FormatterRegistry;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.validation.MessageCodesResolver;
import org.springframework.validation.Validator;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.HandlerMethodReturnValueHandler;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.config.annotation.*;
import org.springframework.web.util.UrlPathHelper;

import java.util.List;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        UrlPathHelper urlPathHelper = new UrlPathHelper();
        urlPathHelper.setUrlDecode(false);
        configurer.setUrlPathHelper(urlPathHelper);
    }
	// ... 省略其他未修改的方法
}

在继承了WebSecurityConfigurerAdapterWebSecurityConfig(没有就新建一个),写入如下代码:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.HttpFirewall;

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
        DefaultHttpFirewall defaultHttpFirewall = new DefaultHttpFirewall();
        defaultHttpFirewall.setAllowUrlEncodedSlash(true);
        return defaultHttpFirewall;
    }

    public void configure(WebSecurity web) throws Exception {
        // 这里一定要注册,不然不会生效的
        web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
    }
}

这样操作完,所有的Controller就都可以处理Path中有%2F的请求了。

方式二:白名单处理%2F,其余请求走DefaultHttpFirewall

全局都允许路径有%2F是很不安全的,因此在生产环境中,这种路径中含有%2F的URL一定是可枚举,可使用白名单处理的,只有命中白名单的URL才允许%2F出现,其他的URL则仍然使用DefaultHttpFirewall去判断URL是否能够访问。

首先在继承了WebMvcConfigurerWebMvcConfig写入如下代码,这里如果不配置的话,后面即使允许slash也会404,应该是Spring把%2F转换为/所以不匹配Controller,方式三就不用这步了。

import org.springframework.context.annotation.Configuration;
import org.springframework.format.FormatterRegistry;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.validation.MessageCodesResolver;
import org.springframework.validation.Validator;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.HandlerMethodReturnValueHandler;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.config.annotation.*;
import org.springframework.web.util.UrlPathHelper;

import java.util.List;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        UrlPathHelper urlPathHelper = new UrlPathHelper();
        urlPathHelper.setUrlDecode(false);
        configurer.setUrlPathHelper(urlPathHelper);
    }
	// ... 省略其他未修改的方法
}

自己继承DefaultHttpFirewall实现一个防火墙重写getFirewalledRequest方法,大概翻一下代码就可以看到,原本的getFirewallRequest是根据allowUrlEncodedSlash变量判断URL中是否允许%2F的,而这个变量可以通过setAllowUrlEncodedSlash进行设置,因此只需要对在白名单的URL临时允许%2F

import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.RequestRejectedException;

import javax.servlet.http.HttpServletRequest;

public class CustomHttpFirewall extends DefaultHttpFirewall {

    public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        // 如果在允许urlEncodeSlash的白名单内
        if (isInSlashWhiteList(request.getRequestURI())) {
            // 临时允许slash
            setAllowUrlEncodedSlash(true);
        }
        FirewalledRequest res = super.getFirewalledRequest(request);
        // 关闭允许,这里如果不关闭,相当于全局开启了允许slash
        setAllowUrlEncodedSlash(false);
        return res;
    }

    /**
     * 判断URL是否在Slash允许的白名单内
     * @param url
     * @return
     */
    private boolean isInSlashWhiteList(String url) {
        return url.contains("hello");
    }
}

但是需要注意的是,在Spring中,Bean是单例,因此在某个请求中设置allowUrlEncodedSlash,可能会影响另一个请求,在并发度不高的服务中,这种现象应该不会出现,但是如果并发度很高,就要考虑这种相互影响的因素,这时也可以考虑使用方式三的思路去解决。

方式三:白名单处理%2F,其余请求走StrictHttpFirewall

如果项目中强制要求使用StrictHttpFirewallStrictHttpFirewall只允许URL中有ASCII字符出现,因此方式二不再适用),或者是考虑到方式二中并发度的问题,就可以考虑用本方式来解决问题,这里的思路整体上是捕捉白名单中的请求,将%2F替换为一个不会出现在URL中的字符串,比如@temp@,然后在Controller再把这个字符串替换回去。

首先需要实现一个FirewalledRequest的包装类,该包装类能够改写原来的URI,以实现修改HttpServletRequest的修改的requestURI的目的:

import org.springframework.security.web.firewall.FirewalledRequest;

import javax.servlet.http.HttpServletRequest;

public class CustomHttpServletRequestWrapper extends FirewalledRequest {
    private String newUri;
    private String originUri;
    public CustomHttpServletRequestWrapper(HttpServletRequest request, String newUri) {
        super(request);
        originUri = request.getRequestURI();
        this.newUri = newUri;
    }

    @Override
    public void reset() {

    }

    @Override
    public StringBuffer getRequestURL() {
        return new StringBuffer(super.getRequestURL().toString().replace(originUri, newUri));
    }

    @Override
    public String getRequestURI() {
        // 返回新的URI
        return newUri;
    }

    @Override
    public String getServletPath() {
        // 替换原本的URI为新的URI
        // 这里把%2F换为/是因为getServletPath取出的有可能已经是把%2F转换为/的URI了
        return super.getServletPath().replace(originUri, newUri).replace(originUri.replace("%2F", "/"), newUri);
    }

    @Override
    public String getPathInfo() {
        // 返回新的URI
        String pathInfo = super.getPathInfo();
        return (pathInfo != null) ? pathInfo.replace(originUri, newUri): null;
    }
}

然后继承StrictHttpFirewall重写getFirewalledRequest方法,在这里实现对%2F的替换。

import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.RequestRejectedException;
import org.springframework.security.web.firewall.StrictHttpFirewall;

import javax.servlet.http.HttpServletRequest;

public class CustomStrictHttpFirewall extends StrictHttpFirewall {

    public static final String replaceSlash = "@temp@";

    @Override
    public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        if (isInSlashWhiteList(request.getRequestURI())) {
            // 在白名单中,替换%2F
            return new CustomHttpServletRequestWrapper(request, request.getRequestURI().replace("%2F", replaceSlash));
        }
        // 否则使用严格模式的生成方法
        return super.getFirewalledRequest(request);
    }


    /**
     * 判断URL是否在Slash允许的白名单内
     * @param url
     * @return
     */
    private boolean isInSlashWhiteList(String url) {
        return url.contains("hello");
    }
}

最后,注册这个自定义的StrictHttpFirewall

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.StrictHttpFirewall;

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
        return new CustomStrictHttpFirewall();
    }

    public void configure(WebSecurity web) throws Exception {
        web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
    }
}

在实际的Controller中,把这个特殊字符串再转换回去就行了:

@RestController
@RequestMapping("/hello")
public class HelloController {

    @GetMapping("/name/{path}")
    @ResponseBody
    public String test(@PathVariable String path) {
        return path.replace(CustomStrictHttpFirewall.replaceSlash, "/");
    }
}
zekdot
关注
  • 18
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security使用Preflight请求和跨域问题详解
08-28
主要给大家介绍了关于Spring Security使用Preflight请求和跨域问题的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Spring Security 5.1 文 参考手册 文文档
05-16
Spring Security 5.1 文 参考手册 文文档 文文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
Spring Security OAuth过期的解决方法
09-07
主要介绍了Spring Security OAuth过期的解决方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security跳转页面失败问题解决
08-25
主要介绍了Spring Security跳转页面失败问题解决,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
URL传参带特殊字符
人生没有捷径
05-10 3882
用URL传参带特殊字符,特殊字符丢失,比如传参的
相对URL不能识别%2F
步行者的专栏
02-22 1万+
最近在一个项目发现%2F的相对URL识别了,产生了404错误。 URL:http://w3schools.com/xxx%2Fxxx%2Ftest.asp?name=stale&car=saab 产生这个现象的原因是因为apache没有识别到encode后的URL。 可以在配置文件里面追加AllowEncodedSlashes On来解决。         DocumentR
关于http请求url传参数特殊字符解析出错的问题
初心不改
12-08 5034
Http请求方法有四种:Get、Post、Put、Delete;我们一般用到的就两种:Get和Post。 Get请求:参数通过Url进行传递,不安全。如果参数有特殊字符(&、?)时,可能会把一个参数分解为多个参数进行传递。 如:http://www.iyiqiba.com?url=www.baidu.com?type=1&name=zhaPost请求:参数一般是通过请求体传递的(可以通过参数传递),基本可以避免参数特殊字符引起的参数解析错误问题。 为了更好的描述问题,我...
@PathVariable注解说明及其用法
qq_41451744的博客
07-13 1830
@PathVariable注解说明及使用方法
Spring Security Web : DefaultHttpFirewall HTTP防火墙(缺省模式)
Details Inside Spring
05-24 3055
概述 功能介绍 DefaultHttpFirewall是Spring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现。该实现是所谓的缺省实现,但实际上Spring Security Web缺省使用的并不是DefaultHttpFirewall,而是严格模式的StrictHttpFirewall。其原因主要是StrictHttpFirewall对安全...
聊聊directory traversal attack
weixin_34194379的博客
12-23 371
序 本文主要研究一下directory traversal attack及其防范 directory traversal attack 又称Path Traversal attack,即目录遍历攻击,旨在访问web服务器根目录外的文件/目录。通过是通过url或变量里头传递"../"来进行目录遍历。 通过url 比如 http://some...
动态参数使用@PathVariable解析
大宇的博客,欢迎访问
03-30 4673
现在有如下的一条超链接 <a href="<c:url value="/actions/article/readArticle/${article.id}"/> " target="_blank">${article.title}</a> ...
@PathVariable接收两个参数
热门推荐
快乐的小三菊的博客
11-28 3万+
首先,@PathVariable无法接收对象,但是可以接收多个值 var data = obj.data; if(obj.event === 'edit'){ //var tmpData = encodeURI(JSON.stringify(data)); layer.open({ //layer提供了5种层类型。可传入的值有:0(信息框,默认)1(页面层)2(...
@PathVariable注解的用法和作用
qq_45793102的博客
07-09 694
1、@PathVariable 映射URL绑定的占位符 带占位符的 URL 是 Spring3.0 新增的功能,该功能在SpringMVC 向 REST 目标挺进发展过程具有里程碑的意义; 通过 @PathVariable 可以将 URL 占位符参数绑定到控制器处理方法的入参:URL 的 {xxx} 占位符可以通过@PathVariable(“xxx“) 绑定到操作方法的入参; 2、代码 @Controller public class Html { //打开所有jsp页面
2、注解@PathVariable用法——映射URL绑定的占位符
u010502101的博客
11-11 4983
带占位符的 URL 是 Spring3.0 新增的功能,例如“/springmvc/{id}”的id就是占位符,id可以表示任何值。为了取到占位符的值,通过 @PathVariable 可以将 URL 占位符参数绑定到控制器处理方法的入参。示例如下:首先进行web.xml和spring的xml配置,配置方法与SpringMVC之注解RequestMapping用法一节的配置相同。一、创建in
spring mvc @PathVariable / 带斜杠方式获取
只因有你,在路上。。。
06-20 2万+
一、遇上这个问题,百度google了一下,抄袭里面的内容,可以实现,在此备忘 @RequestMapping(value = "/download/{value1}/**", method = RequestMethod.GET) public void getValue(@PathVariable String value1, HttpServletRequest request)
spring Security 解决什么问题
最新发布
04-25
Spring Security 是一个基于 Spring 框架的安全解决方案,用于解决 Web 应用程序的安全问题。它提供了一套 API 和过滤器,用于保护应用程序受保护的资源,如 URL、方法和请求数据。Spring Security 可以帮助应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值