SpringSecurity解决路径中含有%2F的问题

2024-03-17 12:44

本文主要是介绍SpringSecurity解决路径中含有%2F的问题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

近期有个需求要求Controller可以处理URL中有%2F的请求,比如:

@RestController
@RequestMapping("/hello")
public class HelloController {@GetMapping("/name/{path}")@ResponseBodypublic String test(@PathVariable String path) {return path;}
}

请求URL可以是:http://localhost:8080/hello/name/test%2F123

原始的Spring也是不支持路径中有%2F的情况的,直接请求页面会直接报错,但是这种情况已经能搜到很多处理方式了,我亲测最简单且有效的方法就是在Spring启动类中,增加如下语句允许SLASH出现。

public static void main( String[] args ) {System.setProperty("org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH", "true");SpringApplication.run(App.class, args);
}

解决Spring的问题之后,如果路径中还是有%2F,访问URL会出现如下的错误:

Whitelabel Error Page
This application has no explicit mapping for /error, so you are seeing this as a fallback.Sun Mar 17 01:19:43 CST 2024
There was an unexpected error (type=Internal Server Error, status=500).
The requestURI cannot contain encoded slash. Got /xxx/xxx/test%2F123

这个错误就是Spring Security抛出的,如果观察控制台,也可以看到响应的堆栈打印:

org.springframework.security.web.firewall.RequestRejectedException: The requestURI cannot contain encoded slash. Got /security/name/test%2F123at org.springframework.security.web.firewall.DefaultHttpFirewall.getFirewalledRequest(DefaultHttpFirewall.java:62) ~[spring-security-web-4.2.9.R

因此正式进入Spring Security的处理环节,这里我给出了三种方案,分别应对安全程度从低到高的场景,当然DIY程度也是从小到大,如果是自己的项目,只是单纯的想消除这个讨厌的requestURI cannot contain encoded slash,建议使用方式一就行。

方式一:全局处理%2F存在

这个方案其实有博主已经提到了:https://www.jb51.net/program/290154s0s.htm

但是我按这个操作之后发现还是不生效,后来还是在Stack Overflow上才发现这里只是新建了Bean,没有注入,那当然毛用没有了。。

在继承了WebMvcConfigurerWebMvcConfig写入如下代码,这里如果不配置的话,后面即使允许slash也会404,应该是Spring把%2F转换为/所以不匹配Controller,方式三就不用这步了。

import org.springframework.context.annotation.Configuration;
import org.springframework.format.FormatterRegistry;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.validation.MessageCodesResolver;
import org.springframework.validation.Validator;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.HandlerMethodReturnValueHandler;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.config.annotation.*;
import org.springframework.web.util.UrlPathHelper;import java.util.List;@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@Overridepublic void configurePathMatch(PathMatchConfigurer configurer) {UrlPathHelper urlPathHelper = new UrlPathHelper();urlPathHelper.setUrlDecode(false);configurer.setUrlPathHelper(urlPathHelper);}// ... 省略其他未修改的方法
}

在继承了WebSecurityConfigurerAdapterWebSecurityConfig(没有就新建一个),写入如下代码:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.HttpFirewall;@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Beanpublic HttpFirewall allowUrlEncodedSlashHttpFirewall() {DefaultHttpFirewall defaultHttpFirewall = new DefaultHttpFirewall();defaultHttpFirewall.setAllowUrlEncodedSlash(true);return defaultHttpFirewall;}public void configure(WebSecurity web) throws Exception {// 这里一定要注册,不然不会生效的web.httpFirewall(allowUrlEncodedSlashHttpFirewall());}
}

这样操作完,所有的Controller就都可以处理Path中有%2F的请求了。

方式二:白名单处理%2F,其余请求走DefaultHttpFirewall

全局都允许路径有%2F是很不安全的,因此在生产环境中,这种路径中含有%2F的URL一定是可枚举,可使用白名单处理的,只有命中白名单的URL才允许%2F出现,其他的URL则仍然使用DefaultHttpFirewall去判断URL是否能够访问。

首先在继承了WebMvcConfigurerWebMvcConfig写入如下代码,这里如果不配置的话,后面即使允许slash也会404,应该是Spring把%2F转换为/所以不匹配Controller,方式三就不用这步了。

import org.springframework.context.annotation.Configuration;
import org.springframework.format.FormatterRegistry;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.validation.MessageCodesResolver;
import org.springframework.validation.Validator;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.HandlerMethodReturnValueHandler;
import org.springframework.web.servlet.HandlerExceptionResolver;
import org.springframework.web.servlet.config.annotation.*;
import org.springframework.web.util.UrlPathHelper;import java.util.List;@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@Overridepublic void configurePathMatch(PathMatchConfigurer configurer) {UrlPathHelper urlPathHelper = new UrlPathHelper();urlPathHelper.setUrlDecode(false);configurer.setUrlPathHelper(urlPathHelper);}// ... 省略其他未修改的方法
}

自己继承DefaultHttpFirewall实现一个防火墙重写getFirewalledRequest方法,大概翻一下代码就可以看到,原本的getFirewallRequest是根据allowUrlEncodedSlash变量判断URL中是否允许%2F的,而这个变量可以通过setAllowUrlEncodedSlash进行设置,因此只需要对在白名单的URL临时允许%2F

import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.RequestRejectedException;import javax.servlet.http.HttpServletRequest;public class CustomHttpFirewall extends DefaultHttpFirewall {public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {// 如果在允许urlEncodeSlash的白名单内if (isInSlashWhiteList(request.getRequestURI())) {// 临时允许slashsetAllowUrlEncodedSlash(true);}FirewalledRequest res = super.getFirewalledRequest(request);// 关闭允许,这里如果不关闭,相当于全局开启了允许slashsetAllowUrlEncodedSlash(false);return res;}/*** 判断URL是否在Slash允许的白名单内* @param url* @return*/private boolean isInSlashWhiteList(String url) {return url.contains("hello");}
}

但是需要注意的是,在Spring中,Bean是单例,因此在某个请求中设置allowUrlEncodedSlash,可能会影响另一个请求,在并发度不高的服务中,这种现象应该不会出现,但是如果并发度很高,就要考虑这种相互影响的因素,这时也可以考虑使用方式三的思路去解决。

方式三:白名单处理%2F,其余请求走StrictHttpFirewall

如果项目中强制要求使用StrictHttpFirewallStrictHttpFirewall只允许URL中有ASCII字符出现,因此方式二不再适用),或者是考虑到方式二中并发度的问题,就可以考虑用本方式来解决问题,这里的思路整体上是捕捉白名单中的请求,将%2F替换为一个不会出现在URL中的字符串,比如@temp@,然后在Controller再把这个字符串替换回去。

首先需要实现一个FirewalledRequest的包装类,该包装类能够改写原来的URI,以实现修改HttpServletRequest的修改的requestURI的目的:

import org.springframework.security.web.firewall.FirewalledRequest;import javax.servlet.http.HttpServletRequest;public class CustomHttpServletRequestWrapper extends FirewalledRequest {private String newUri;private String originUri;public CustomHttpServletRequestWrapper(HttpServletRequest request, String newUri) {super(request);originUri = request.getRequestURI();this.newUri = newUri;}@Overridepublic void reset() {}@Overridepublic StringBuffer getRequestURL() {return new StringBuffer(super.getRequestURL().toString().replace(originUri, newUri));}@Overridepublic String getRequestURI() {// 返回新的URIreturn newUri;}@Overridepublic String getServletPath() {// 替换原本的URI为新的URI// 这里把%2F换为/是因为getServletPath取出的有可能已经是把%2F转换为/的URI了return super.getServletPath().replace(originUri, newUri).replace(originUri.replace("%2F", "/"), newUri);}@Overridepublic String getPathInfo() {// 返回新的URIString pathInfo = super.getPathInfo();return (pathInfo != null) ? pathInfo.replace(originUri, newUri): null;}
}

然后继承StrictHttpFirewall重写getFirewalledRequest方法,在这里实现对%2F的替换。

import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.RequestRejectedException;
import org.springframework.security.web.firewall.StrictHttpFirewall;import javax.servlet.http.HttpServletRequest;public class CustomStrictHttpFirewall extends StrictHttpFirewall {public static final String replaceSlash = "@temp@";@Overridepublic FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {if (isInSlashWhiteList(request.getRequestURI())) {// 在白名单中,替换%2Freturn new CustomHttpServletRequestWrapper(request, request.getRequestURI().replace("%2F", replaceSlash));}// 否则使用严格模式的生成方法return super.getFirewalledRequest(request);}/*** 判断URL是否在Slash允许的白名单内* @param url* @return*/private boolean isInSlashWhiteList(String url) {return url.contains("hello");}
}

最后,注册这个自定义的StrictHttpFirewall

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.StrictHttpFirewall;@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Beanpublic HttpFirewall allowUrlEncodedSlashHttpFirewall() {return new CustomStrictHttpFirewall();}public void configure(WebSecurity web) throws Exception {web.httpFirewall(allowUrlEncodedSlashHttpFirewall());}
}

在实际的Controller中,把这个特殊字符串再转换回去就行了:

@RestController
@RequestMapping("/hello")
public class HelloController {@GetMapping("/name/{path}")@ResponseBodypublic String test(@PathVariable String path) {return path.replace(CustomStrictHttpFirewall.replaceSlash, "/");}
}

这篇关于SpringSecurity解决路径中含有%2F的问题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/818994

相关文章

使用Python实现矢量路径的压缩、解压与可视化

《使用Python实现矢量路径的压缩、解压与可视化》在图形设计和Web开发中,矢量路径数据的高效存储与传输至关重要,本文将通过一个Python示例,展示如何将复杂的矢量路径命令序列压缩为JSON格式,... 目录引言核心功能概述1. 路径命令解析2. 路径数据压缩3. 路径数据解压4. 可视化代码实现详解1

SpringBoot UserAgentUtils获取用户浏览器的用法

《SpringBootUserAgentUtils获取用户浏览器的用法》UserAgentUtils是于处理用户代理(User-Agent)字符串的工具类,一般用于解析和处理浏览器、操作系统以及设备... 目录介绍效果图依赖封装客户端工具封装IP工具实体类获取设备信息入库介绍UserAgentUtils

Spring 中的循环引用问题解决方法

《Spring中的循环引用问题解决方法》:本文主要介绍Spring中的循环引用问题解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录什么是循环引用?循环依赖三级缓存解决循环依赖二级缓存三级缓存本章来聊聊Spring 中的循环引用问题该如何解决。这里聊

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen

Spring Boot中JSON数值溢出问题从报错到优雅解决办法

《SpringBoot中JSON数值溢出问题从报错到优雅解决办法》:本文主要介绍SpringBoot中JSON数值溢出问题从报错到优雅的解决办法,通过修改字段类型为Long、添加全局异常处理和... 目录一、问题背景:为什么我的接口突然报错了?二、为什么会发生这个错误?1. Java 数据类型的“容量”限制

Java对象转换的实现方式汇总

《Java对象转换的实现方式汇总》:本文主要介绍Java对象转换的多种实现方式,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录Java对象转换的多种实现方式1. 手动映射(Manual Mapping)2. Builder模式3. 工具类辅助映

SpringBoot请求参数接收控制指南分享

《SpringBoot请求参数接收控制指南分享》:本文主要介绍SpringBoot请求参数接收控制指南,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring Boot 请求参数接收控制指南1. 概述2. 有注解时参数接收方式对比3. 无注解时接收参数默认位置

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

关于MongoDB图片URL存储异常问题以及解决

《关于MongoDB图片URL存储异常问题以及解决》:本文主要介绍关于MongoDB图片URL存储异常问题以及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐... 目录MongoDB图片URL存储异常问题项目场景问题描述原因分析解决方案预防措施js总结MongoDB图

SpringBoot项目中报错The field screenShot exceeds its maximum permitted size of 1048576 bytes.的问题及解决

《SpringBoot项目中报错ThefieldscreenShotexceedsitsmaximumpermittedsizeof1048576bytes.的问题及解决》这篇文章... 目录项目场景问题描述原因分析解决方案总结项目场景javascript提示:项目相关背景:项目场景:基于Spring