Spring Security 之 StrictHttpFirewall 坑

最新推荐文章于 2025-03-09 16:24:54 发布
置顶 最新推荐文章于 2025-03-09 16:24:54 发布
阅读量4.3k 收藏 1
点赞数
分类专栏: # 实战1:Security请求双斜杠“//”异常拦截 文章标签: Spring Security学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hypora/article/details/102549073
版权

这个防火墙有个坑啊 啊 啊。。。。。

事情原由:项目初次引入security为swagger相关页面做验证

异常:org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.

 

解决:

解决方法:(注意方法下方趟过的撸)

1.强制自定义防火墙

    @Bean
    public HttpFirewall defaultHttpFirewall() {
        return new DefaultHttpFirewall();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        //新防火墙强制覆盖原来的
        web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
        //super.configure(web);
    }

2.修改swagger源码,修复//的bug

3.网上查到的方法(我自己测试无法使用这种方法)

    @Bean
    public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
        StrictHttpFirewall firewall = new StrictHttpFirewall();
        //此处开启不让检测‘/’符号
        firewall.setAllowUrlEncodedSlash(true);
        return firewall;
    }
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
        //super.configure(web);
    }

趟过的路:

方法一:使用方法已通过的确实可以避开“//”,但是跟过源码

改源码使用的uri是String类型,这个if即使含“//”也会返回false(即有效的url),感觉这个方法没啥用

方法二:正常没毛病,可用、

方法三:最坑

使用该方法,途中校验1可以通过,但是校验2中isNormalized(request)的检验"//"是写死的啊

ε=(´ο`*)))唉,最靠谱的方法二需要体力ε=ε=ε=(#>д<)ノ

各位路过的,如果有指正请及时赐教,挽救我于无尽苦海

 

SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Spring Security 6.x 系列(14)—— 会话管理之会话固定攻击防护及Session共享
gmHappy
01-03 3014
在上篇 Spring Security 6.x 系列(13)—— 会话管理及源码分析(一) 中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享,并对部分源码进行分析。
Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)
热门推荐
Details Inside Spring
05-24 1万+
概述 功能介绍 StrictHttpFirewallSpring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现,该实现采用了严格模式,遇到任何可疑的请求,会通过抛出异常RequestRejectedException拒绝该请求。StrictHttpFirewall也是Spring Security Web在安全过滤器代理FilterChainP...
Spring Security 中的HttpFirewall
最新发布
2401_89221867的博客
03-09 992
在servlet容器规范中,为HttpServletRequest定义了一些属性,如contextPath、servletPath、pathInfo、queryString等,这些属性我们都可以通过get方法获取。然而在servlet容器规范中并没有定义这些属性都可以包含哪些值,例如在servletPath和pathInfo中都可以包含RFC2396的规范()中定义的参数,不同容器对此处理方案也不同,有的容器会对此进行预处理,有的容器则不会。这种比较混乱的处理方式可能会造成安全隐患。
Spring Security(学习笔记) --HttpFirewall防火墙!
TONGZHOUGONGDU的博客
04-29 1882
我们知道,在Servlet容器规范中,为HttpServletRequest定义了一些属性,如ContextPath.ServletPath等,这些属性我们都可以通过get方法获得,但是,在不同的容器中,对这些属性的值处理方案也不同,有些容器会对属性的值进行预处理,有些则不会,这样就比较混乱了,不同容器的差异,有可能会造成不安全的隐患。因此,Spring Security就提供了HttpFirewall来统一进行管理。//对请求对象进行检验并封装//对返回对象进行封装主要有两个实现类。
SpringSecurity抛出异常但AccessDeniedHandler不生效
qq_45848700的博客
01-05 1544
最近在学习SpringSecurity权限管理框架,在测试权限管理时发现在使用没有权限的接口时异常被全局异常处理器给捕获了 查询资料后,发现解决方法有很多,所以把我觉得比较方便的方法记录下来:全局异常中捕获AccessDeniedException再抛出就可以被AccessDeniedHandler捕获到了 @ExceptionHandler(AccessDeniedException.class) public void accessDeniedException(AccessDeniedExcep
8.Spring security中的HttpFirewall
EdSheeran的博客
03-11 2319
文章目录*`HttpFirewall`**8.1`HttpFirewall`简介**8.2`HttpFirewall`严格模式**8.2.1`rejectForbiddenHttpMethod`**8.2.2`rejectedBlocklistedUrls`**8.2.3`rejectedUntrustedHosts`**8.2.4`isNormalized`**8.2.5`containsOnlyPrintableAsciiCharacters`**8.3`HttpFirewall`普通模式* HttpF
Spring Boot Security自带功能齐全的HttpFirewall防火墙
allway2的博客
08-09 2783
在这篇文章中,我将解释 Spring 的 HttpFirewall 是什么,它提供的安全保护类型以及它在 SpringSecurity 中的位置。此功能,因为它被认为具有极高的风险。在讨论 Spring Security 时,通常会非常关注 Spring 的安全过滤器(这是理所当然的),但不明显的是 HttpFirewall 是我们的第一道防线。基本上,Http 防火墙实施的规则会强制增加安全性,以净化和保护我们免受可能有害的精心制作的 URL 的侵害,甚至在它们到达安全过滤器链之前。...
SpringSecurity如何实现配置单个HttpSecurity
08-18
Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能。今天,我们将详细介绍如何使用 Spring Security 实现配置单个 HttpSecurity。 一、创建项目并导入依赖 在使用 Spring Security 之前...
Spring Security 6.x 系列【4】源码篇之默认过滤器
记录知识、锤炼自我
03-27 2529
本篇文档主要介绍中默认的15个过滤器相关作用。
Spring Security 6.x 系列【60】漏洞防护篇之防火墙
记录知识、锤炼自我
06-25 830
Firewall防火墙是互联网安全必不可少的一项技术,用以保护系统安全,防止侵入,一般服务器操作系统都会自带防火墙软件。Spring Security也提供了HTTP防火墙,用于拒绝潜在的危险请求,并对请求和响应进行包装以控制其行为。
Spring安全方案—针对常见漏洞的保护(HTTP、HttpFirewall(官方原版)
深圳市多克创新科技有限公司
04-24 577
Spring安全方案—针对常见漏洞的保护(HTTP、HttpFirewall(官方原版)
报错:org.springframework.security.web.firewall.RequestRejectedException: The request was not ......
weixin_46150099的博客
01-08 673
报错:org.springframework.security.web.firewall.RequestRejectedException: The request was not ......
报错: The request was rejected because the URL contained a potentially malicious String “//“
比个帽的博客
08-16 5633
Spring Security 框架中提供了一个 HttpFirewall,这是一个请求防火墙,它可以自动处理掉一些非法请求,请求地址格式中不能包含;等字符或编码,必须是标准化 URL。如果希望请求地址中可以出现 %,在SpringSecurity中进行如下配置。
SpringBoot中SpringSecurity 报错:org.springframework.security.web.firewall.RequestRejectedException
一个简单的描述,我想你不会感兴趣的
08-04 4379
根据报错org.springframework.security.web.firewall.RequestRejectedException中的信息分析错误
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because
苏雨丶
07-19 1万+
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized. at org.springframework.security.web.firewall.StrictHttpFirewall.getFir...
SpringSecurity:request was rejected because the URL contained a potentially malicious String “//“
Ricardo.M.Yu的博客
03-15 3160
spring security路径问题
The request was rejected because the URL was not normalized
程序人生
08-25 807
在一次浏览网站后台日志中发现报错,org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.异常的原因是请求的URL没有进行规范化处理。当Spring Security检测到请求的URL没有进行规范化处理时,会抛出RequestRejectedException异常,拒绝该请求的执行。
问题org.springframework.security.web.firewall.RequestRejectedException: The request was rejected
weixin_43862596的博客
01-28 1015
如图: SpringBoot报错 org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized. 解决方法: 在启动类Application中配置一个Bean即可 @Bean public HttpFirewall defaultHttpFirewall() { return new Def
StrictHttpFirewall
09-21
### 回答1: 是什么? A:StrictHttpFirewallSpring Security框架中的一个类,用于执行基于HTTP协议的安全性检查和过滤。它可以用于保护Web应用程序,防止恶意攻击、注入和跨站脚本等安全漏洞。它提供一组默认的安全规则,也可以通过配置自定义规则来满足特定的安全需求。严格的HttpFirewall还在维护在Spring Security的子项目中,叫作Spring Security Web。 ### 回答2: StrictHttpFirewallSpring Security中的一种HttpFirewall实现。它是一种严格的HTTP防火墙,用于处理和过滤HTTP请求中的特殊字符和编码。 在Web应用程序中,用户可以通过HTTP请求提交各种数据,包括URL路径、查询参数、请求头和请求体。然而,有时用户可能会故意或无意地使用包含特殊字符或编码的恶意数据来攻击应用程序,比如SQL注入、跨站脚本攻击等。 StrictHttpFirewall的作用就是防止这种类型的攻击。它通过定义安全规则来过滤和处理HTTP请求中的特殊字符和编码,从而保护应用程序的安全性。 StrictHttpFirewall可以配置以下属性: 1. allowUrlEncodedSlash:设置是否允许URL中的斜杠字符进行编码。默认情况下,不允许编码斜杠字符。 2. allowUrlEncodedPercent:设置是否允许URL中的百分号字符进行编码。默认情况下,不允许编码百分号字符。 3. allowUrlEncodedPeriod:设置是否允许URL中的点号字符进行编码。默认情况下,不允许编码点号字符。 4. rejectInvalidUtf8:设置是否拒绝包含无效UTF-8编码的请求。默认情况下,拒绝无效UTF-8编码的请求。 除了以上属性外,StrictHttpFirewall还提供了其他一些有关编码和解码处理的方法。 总之,StrictHttpFirewallSpring Security中的一种HTTP防火墙,用于过滤和处理HTTP请求中的特殊字符和编码,以保护Web应用程序的安全性。 ### 回答3: StrictHttpFirewallSpring Security 提供的一个过滤器,用于实现 HTTP 请求的严格安全策略。 StrictHttpFirewall 可以设置多个安全策略,包括: 1. 是否允许双斜杠:默认情况下,Spring Security 会自动将双斜杠替换为单斜杠。但是如果启用了 StrictHttpFirewall,可以拒绝双斜杠的请求。 2. 是否允许解析分号:如果启用了 StrictHttpFirewall,可以拒绝解析分号,防止 Spring Security 将分号视为路径分隔符。 3. 是否允许 URL 包含斜杠后的 "..":默认情况下,Spring Security 会剥离 URL 中的 "..",以防止路径遍历攻击。但是如果启用了 StrictHttpFirewall,可以拒绝包含 ".." 的 URL 请求。 4. 是否允许 URL 包含反斜杠:默认情况下,Spring Security 会将 URL 中的反斜杠替换为单斜杠。但是如果启用了 StrictHttpFirewall,可以拒绝包含反斜杠的请求。 通过配置 StrictHttpFirewall,可以增加系统的安全性,防止一些常见的攻击,如路径遍历攻击、安全漏洞攻击等。然而,在使用 StrictHttpFirewall 时需要谨慎,确保不会影响正常的业务功能使用。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值