当用户访问无权限链接被重定向到登录页时,Spring Security的Cookie信息导致URL含有jsessionid,被安全策略视为潜在风险。OWASP建议避免URL暴露jsessionid以防会话固定攻击。解决方案包括在Spring Security中允许url携带jsessionid(不推荐)或修改Tomcat的会话跟踪模式。本文提供了具体的配置方法。
问题的复盘
首先这个问题出现的时机是,当用户访问特定的连接(如http://localhost/index)时没有权限,被重定向到登录页面http://localhost/login。为了登录成功后再跳转到目标访问的页面http://localhost/index,Spring Security会在Cookie中存一个信息,标记一为一个jsessionid。重定向时Servlet容器,也就是tomcat之类的会把jsessionid编码到重定向url,也就是http://localhost/login;jsessionid=xxxxxxxxxx。这种请求会被Spring Security的StrictHttpFirewall拦截,引发进而The request was rejected because the URL contained a potentially malicious String ";"错误。
安全策略
OWASP指出在URL中暴露jsessionid是非常危险的举动,可能导致会话固定攻击,因此不建议上述的行为。
解决方案
目前有两种解决方案。
允许url携带jsessionid
这种在网上很多,如果浏览器的cookie被禁用或者你的应用可以容忍上述安全漏洞你可以在Spring Security中采取这种方式:
httpSecurity
.sessionManagement()
.enableSessionUrlRewriting(true);
这种不建议使用。
修改servlet容器的会话机制
在 Spring Boot 中配置 Tomcat 的跟踪模式:
server.servlet.session.tracking-modes=cookie
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。自己不成体系的自学效率很低又漫长,而且容易碰到天花板技术停止不前。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。添加下方名片,即可获取全套学习资料哦
扫一扫
1357
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
