Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)

最新推荐文章于 2025-03-09 16:24:54 发布
原创 最新推荐文章于 2025-03-09 16:24:54 发布 · 1.2w 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Spring Security提供的防火墙实现,采用严格模式,遇可疑请求会抛异常拒绝。阐述了其决定是否拒绝请求的规则,如不在许可清单、请求未标准化、含不可打印字符等情况会被拒绝,部分规则可通过开关函数设置,还提及相关知识点及源代码版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

功能介绍

StrictHttpFirewallSpring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现,该实现采用了严格模式,遇到任何可疑的请求,会通过抛出异常RequestRejectedException拒绝该请求。StrictHttpFirewall也是Spring Security Web在安全过滤器代理FilterChainProxy内置缺省使用的HTTP防火墙机制。

该防火墙实现使用如下规则决定是否拒绝一个请求:

  • 不在HTTP method许可清单的请求会被拒绝。

    HTTP method许可清单通过方法setAllowedHttpMethods(Collection)设置。
    缺省被允许的HTTP method有 [DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT]。

  • 如果请求URL 不是标准化(normalize)的URL则该请求会被拒绝,以避免安全限制被绕过。

    StrictHttpFirewall中该规则不能被禁用,因为关掉该限制风险极高。一种想通过该规则又想尽量安全的替代方法,是在请求到达前对URL进行标准化处理。跟StrictHttpFirewall相对应的另外一个HttpFirewall实现是DefaultHttpFirewallDefaultHttpFirewall中对请求URL的限制没有这一条,但是相应地安全性就下降了。

    这里需要提醒的是,对请求URL做标准化处理是一种比较"脆弱"的(fragile)手段。建议即使请求会被拒绝,也尽量不要对其URL做标准化。

    标准化的URL必须符合以下条件 :
    在其requestURI/contextPath/servletPath/pathInfo中,必须不能包含以下字符串序列之一 :
    ["//","./","/…/","/."]

  • 如果请求URL 中包含不可打印ASCII字符则该请求会被拒绝。

    该规则不可关闭,因为对应风极高。

    有关知识点 :

    1. requestURI : URL中去除协议,主机名,端口之后其余的部分,
    2. contextPath : requestURI中对应webapp的部分,
    3. servletPathrequestURI中对应识别Servlet的部分
    4. ,pathInfo : requestURI中去掉contextPath,servletPath剩下的部分

  • 如果请求URL(无论是URL编码前还是URL编码后)包含了分号(;或者%3b或者%3B)则该请求会被拒绝。

    通过开关函数setAllowSemicolon(boolean) 可以设置是否关闭该规则。缺省使用该规则。

  • 如果请求URL(无论是URL编码前还是URL编码后)包含了斜杠(%2f或者%2F)则该请求会被拒绝。

    通过开关函数setAllowUrlEncodedSlash(boolean) 可以设置是否关闭该规则。缺省使用该规则。

  • 如果请求URL(无论是URL编码前还是URL编码后)包含了反斜杠(\或者%5c或者%5B)则该请求会被拒绝。

    通过开关函数setAllowBackSlash(boolean) 可以设置是否关闭该规则。缺省使用该规则。

  • 如果请求URLURL编码后包含了%25(URL编码了的百分号%),或者在URL编码前包含了百分号%则该请求会被拒绝。

    通过开关函数setAllowUrlEncodedPercent(boolean) 可以设置是否关闭该规则。缺省使用该规则。

  • 如果请求URLURL编码后包含了URL编码的英文句号.(%2e或者%2E)则该请求会被拒绝。

    通过开关函数setAllowUrlEncodedPeriod(boolean) 可以设置是否关闭该规则。缺省使用该规则。

注意:这里提到的"URL编码后"对应英文是URL encoded,"URL编码前"指的是未执行URL编码的原始URL字符串,或者是"URL编码后"的URL经过解码URL decode得到的URL字符串(应该等于原始URL字符串)。

继承关系

StrictHttpFirewall

使用介绍


// FilterChainProxy 代码片段
private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		// 这里 firewall 缺省就是一个 StrictHttpFirewall 实例,
		// FilterChainProxy 允许外部设置使用指定的 firewall 实例
		// 这里对请求/响应对象进行防火墙增强,如果请求被检测到可疑会被拒绝,
		// 响应对象会被增加输出头部/cookie/redirect location值时的安全检查
		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		// 获取跟该请求匹配的所有安全过滤器
		List<Filter> filters = getFilters(fwRequest);

		if (filters == null || filters.size() == 0) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters"
								: " has an empty filter list"));
			}

			fwRequest.reset();

			// 调用安全过滤器链 
			chain.doFilter(fwRequest, fwResponse);

			return;
		}

		// 构造并调用安全过滤器链  
		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

源代码

源代码版本 : Spring Security Web 5.1.4.RELEASE

package org.springframework.security.web.firewall;

import org.springframework.http.HttpMethod;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.Collection;
import java.util.Collections;
import java.util.HashSet;
import java.util.List;
import java.util.Set;


public class StrictHttpFirewall implements HttpFirewall {
	/**
	 * Used to specify to #setAllowedHttpMethods(Collection) that any HTTP method should be allowed.
	 */
	private static final Set<String> ALLOW_ANY_HTTP_METHOD = Collections.unmodifiableSet(Collections.emptySet());

	private static final String ENCODED_PERCENT = "%25";

	private static final String PERCENT = "%";

	private static final List<String> FORBIDDEN_ENCODED_PERIOD = 
		Collections.unmodifiableList(Arrays.asList("%2e", "%2E"));

	private static final List<String> FORBIDDEN_SEMICOLON = 
		Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));

	private static final List<String> FORBIDDEN_FORWARDSLASH = 
		Collections.unmodifiableList(Arrays.asList("%2f", "%2F"));

	private static final List<String> FORBIDDEN_BACKSLASH = 
		Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));

	private Set<String> encodedUrlBlacklist = new HashSet<String>();

	private Set<String> decodedUrlBlacklist = new HashSet<String>();

	private Set<String> allowedHttpMethods = createDefaultAllowedHttpMethods();

	public StrictHttpFirewall() {
		urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
		urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
		urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);

		this.encodedUrlBlacklist.add(ENCODED_PERCENT);
		this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
		this.decodedUrlBlacklist.add(PERCENT);
	}


	public void setUnsafeAllowAnyHttpMethod(boolean unsafeAllowAnyHttpMethod) {
		this.allowedHttpMethods = unsafeAllowAnyHttpMethod ? ALLOW_ANY_HTTP_METHOD : createDefaultAllowedHttpMethods();
	}

	public void setAllowedHttpMethods(Collection<String> allowedHttpMethods) {
		if (allowedHttpMethods == null) {
			throw new IllegalArgumentException("allowedHttpMethods cannot be null");
		}
		if (allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
			this.allowedHttpMethods = ALLOW_ANY_HTTP_METHOD;
		} else {
			this.allowedHttpMethods = new HashSet<>(allowedHttpMethods);
		}
	}

	
	public void setAllowSemicolon(boolean allowSemicolon) {
		if (allowSemicolon) {
			urlBlacklistsRemoveAll(FORBIDDEN_SEMICOLON);
		} else {
			urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
		}
	}


	public void setAllowUrlEncodedSlash(boolean allowUrlEncodedSlash) {
		if (allowUrlEncodedSlash) {
			urlBlacklistsRemoveAll(FORBIDDEN_FORWARDSLASH);
		} else {
			urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
		}
	}


	public void setAllowUrlEncodedPeriod(boolean allowUrlEncodedPeriod) {
		if (allowUrlEncodedPeriod) {
			this.encodedUrlBlacklist.removeAll(FORBIDDEN_ENCODED_PERIOD);
		} else {
			this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
		}
	}

	public void setAllowBackSlash(boolean allowBackSlash) {
		if (allowBackSlash) {
			urlBlacklistsRemoveAll(FORBIDDEN_BACKSLASH);
		} else {
			urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);
		}
	}


	public void setAllowUrlEncodedPercent(boolean allowUrlEncodedPercent) {
		if (allowUrlEncodedPercent) {
			this.encodedUrlBlacklist.remove(ENCODED_PERCENT);
			this.decodedUrlBlacklist.remove(PERCENT);
		} else {
			this.encodedUrlBlacklist.add(ENCODED_PERCENT);
			this.decodedUrlBlacklist.add(PERCENT);
		}
	}

	private void urlBlacklistsAddAll(Collection<String> values) {
		this.encodedUrlBlacklist.addAll(values);
		this.decodedUrlBlacklist.addAll(values);
	}

	private void urlBlacklistsRemoveAll(Collection<String> values) {
		this.encodedUrlBlacklist.removeAll(values);
		this.decodedUrlBlacklist.removeAll(values);
	}

	@Override
	public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
		rejectForbiddenHttpMethod(request);
		rejectedBlacklistedUrls(request);

		if (!isNormalized(request)) {
			throw new RequestRejectedException("The request was rejected because the URL was not normalized.");
		}

		String requestUri = request.getRequestURI();
		if (!containsOnlyPrintableAsciiCharacters(requestUri)) {
			throw new RequestRejectedException(
				"The requestURI was rejected because it can only contain printable ASCII characters.");
		}
		return new FirewalledRequest(request) {
			@Override
			public void reset() {
			}
		};
	}

	private void rejectForbiddenHttpMethod(HttpServletRequest request) {
		if (this.allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
			return;
		}
		if (!this.allowedHttpMethods.contains(request.getMethod())) {
			throw new RequestRejectedException("The request was rejected because the HTTP method \"" +
					request.getMethod() +
					"\" was not included within the whitelist " +
					this.allowedHttpMethods);
		}
	}

	private void rejectedBlacklistedUrls(HttpServletRequest request) {
		for (String forbidden : this.encodedUrlBlacklist) {
			if (encodedUrlContains(request, forbidden)) {
				throw new RequestRejectedException(
					"The request was rejected because the URL contained a potentially malicious String \"" 
					+ forbidden + "\"");
			}
		}
		for (String forbidden : this.decodedUrlBlacklist) {
			if (decodedUrlContains(request, forbidden)) {
				throw new RequestRejectedException(
					"The request was rejected because the URL contained a potentially malicious String \"" 
					+ forbidden + "\"");
			}
		}
	}

	@Override
	public HttpServletResponse getFirewalledResponse(HttpServletResponse response) {
		return new FirewalledResponse(response);
	}

	private static Set<String> createDefaultAllowedHttpMethods() {
		Set<String> result = new HashSet<>();
		result.add(HttpMethod.DELETE.name());
		result.add(HttpMethod.GET.name());
		result.add(HttpMethod.HEAD.name());
		result.add(HttpMethod.OPTIONS.name());
		result.add(HttpMethod.PATCH.name());
		result.add(HttpMethod.POST.name());
		result.add(HttpMethod.PUT.name());
		return result;
	}


    // 对请求 request URL 的四个部分做标准化检查 :
    // requestURI,  contextPath, servletPath, pathInfo
	private static boolean isNormalized(HttpServletRequest request) {
		if (!isNormalized(request.getRequestURI())) {
			return false;
		}
		if (!isNormalized(request.getContextPath())) {
			return false;
		}
		if (!isNormalized(request.getServletPath())) {
			return false;
		}
		if (!isNormalized(request.getPathInfo())) {
			return false;
		}
		return true;
	}

	private static boolean encodedUrlContains(HttpServletRequest request, String value) {
		if (valueContains(request.getContextPath(), value)) {
			return true;
		}
		return valueContains(request.getRequestURI(), value);
	}

	private static boolean decodedUrlContains(HttpServletRequest request, String value) {
		if (valueContains(request.getServletPath(), value)) {
			return true;
		}
		if (valueContains(request.getPathInfo(), value)) {
			return true;
		}
		return false;
	}

	private static boolean containsOnlyPrintableAsciiCharacters(String uri) {
		int length = uri.length();
		for (int i = 0; i < length; i++) {
			char c = uri.charAt(i);
			if (c < '\u0020' || c > '\u007e') {
				return false;
			}
		}

		return true;
	}

	private static boolean valueContains(String value, String contains) {
		return value != null && value.contains(contains);
	}


    // 检测一个路径参数path是否是一个标准化了的路径 :
    // 1. 如果路径中包含连续两个反斜杠 "//" 则会被认为是非标准化的
    // 2. 如果路径中包含 "./" , "/../" , 或者 "/." , 则会被认为是非标准化的
	private static boolean isNormalized(String path) {
		if (path == null) {
			return true;
		}

		if (path.indexOf("//") > -1) {
			return false;
		}

		for (int j = path.length(); j > 0;) {
			int i = path.lastIndexOf('/', j - 1);
			int gap = j - i;

			if (gap == 2 && path.charAt(i + 1) == '.') {
				// ".", "/./" or "/."
				return false;
			} else if (gap == 3 && path.charAt(i + 1) == '.' && path.charAt(i + 2) == '.') {
				return false;
			}

			j = i;
		}

		return true;
	}

}

参考文章

Spring Security 6.x 系列【60】漏洞防护篇之防火墙
记录知识、锤炼自我
06-25 878
Firewall防火墙是互联网安全必不可少的一项技术,用以保护系统安全,防止侵入,一般服务器操作系统都会自带防火墙软件。Spring Security也提供了HTTP防火墙,用于拒绝潜在的危险请求,并对请求和响应进行包装以控制其行为。
SpringSecurity6 | 核心过滤器
热门推荐
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Spring Security(学习笔记) --HttpFirewall防火墙
TONGZHOUGONGDU的博客
04-29 2081
我们知道,在Servlet容器规范中,为HttpServletRequest定义了一些属性,如ContextPath.ServletPath等,这些属性我们都可以通过get方法获得,但是,在不同的容器中,对这些属性的值处理方案也不同,有些容器会对属性的值进行预处理,有些则不会,这样就比较混乱了,不同容器的差异,有可能会造成不安全的隐患。因此,Spring Security就提供了HttpFirewall来统一进行管理。//对请求对象进行检验并封装//对返回对象进行封装主要有两个实现类。
Spring SecurityStrictHttpFirewall
Hypora的博客
10-14 4415
这个防火墙有个坑啊 啊 啊。。。。。 事情原由:项目初次引入security为swagger相关页面做验证 异常:org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized. 解决: 解决方...
Spring Boot Security自带功能齐全的HttpFirewall防火墙
allway2的博客
08-09 2934
在这篇文章中,我将解释 SpringHttpFirewall 是什么,它提供的安全保护类型以及它在 SpringSecurity 中的位置。此功能,因为它被认为具有极高的风险。在讨论 Spring Security 时,通常会非常关注 Spring 的安全过滤器(这是理所当然的),但不明显的是 HttpFirewall 是我们的第一道防线。基本上,Http 防火墙实施的规则会强制增加安全性,以净化和保护我们免受可能有害的精心制作的 URL 的侵害,甚至在它们到达安全过滤器链之前。...
Spring Security Web : DefaultHttpFirewall HTTP防火墙(缺省模式)
Details Inside Spring
05-24 3287
概述 功能介绍 DefaultHttpFirewall是Spring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现。该实现是所谓的缺省实现,但实际上Spring Security Web缺省使用的并不是DefaultHttpFirewall,而是严格模式StrictHttpFirewall。其原因主要是StrictHttpFirewall对安全...
org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because
Nostalgia____的博客
03-15 7083
org.springframework.security.web.firewall.RequestRejectedException
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3847
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security 6.x 系列【4】源码篇之默认过滤器
记录知识、锤炼自我
03-27 2599
本篇文档主要介绍中默认的15个过滤器相关作用。
Spring security配置详解
qq_22162093的博客
12-21 7537
一直对项目里的安全配置比较陌生,这次总结一下项目里的那些关于security配置 1、 核心组件 这一节主要介绍一些在 Spring Security 中常见且核心的 Java 类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限… 这些都被保存在 Security
SpringBoot整合升级Spring Security 报错 【The request was rejected because the URL was not normalized】
Lan_Xuan
06-10 1638
SpringBoot整合升级Spring Security 报错 【The request was rejected because the URL was not normalized】 前言 最近LZ给项目框架升级, 从Spring1.x升级到Spring2.x, 在这里就不多赘述两个版本之间的区别以及升级的原因。 关于升级过程中踩的坑,在其他博文中会做比较详细的记录,以便给读者参考,不要掉进...
HttpFireWall
凌晨12点,说出你的知心话
01-06 563
public interface HttpFirewall { FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException; HttpServletResponse getFirewalledResponse(HttpServletResponse r...
Spring Security 自带防火墙!你都不知道自己的系统有多安全!
2301_82242296的博客
04-13 726
设置完成之后,再去访问相同的接口,可以看到,此时虽然还是报错,但是错误是 404 了,而不是一开始那个不允许;的错了。;
Spring Security Web : 概念模型接口 HttpFirewall
Details Inside Spring
05-23 1419
概述 功能介绍 HttpFirewall是Spring Web提供的一个接口,抽象建模HTTP防火墙这一概念。相应对象用于拒绝存在潜在风险的请求或者包装它们以控制它们的行为。该接口的实现类会被注入到FilterChainProxy,在安全过滤器链被调用之前该防火墙逻辑会被调用。如果响应对象的行为需要被限制,该防火墙也可以对响应进行包装再返回给请求方。 HttpFirewall只定义了两个接口方法,...
Spring Security 中的HttpFirewall
2401_89221867的博客
03-09 1138
在servlet容器规范中,为HttpServletRequest定义了一些属性,如contextPath、servletPath、pathInfo、queryString等,这些属性我们都可以通过get方法获取。然而在servlet容器规范中并没有定义这些属性都可以包含哪些值,例如在servletPath和pathInfo中都可以包含RFC2396的规范()中定义的参数,不同容器对此处理方案也不同,有的容器会对此进行预处理,有的容器则不会。这种比较混乱的处理方式可能会造成安全隐患。
8.Spring security中的HttpFirewall
EdSheeran的博客
03-11 2376
文章目录*`HttpFirewall`**8.1`HttpFirewall`简介**8.2`HttpFirewall`严格模式**8.2.1`rejectForbiddenHttpMethod`**8.2.2`rejectedBlocklistedUrls`**8.2.3`rejectedUntrustedHosts`**8.2.4`isNormalized`**8.2.5`containsOnlyPrintableAsciiCharacters`**8.3`HttpFirewall`普通模式* HttpF
报错:org.springframework.security.web.firewall.RequestRejectedException: The request was not ......
weixin_46150099的博客
01-08 739
报错:org.springframework.security.web.firewall.RequestRejectedException: The request was not ......
Spring Security漏洞防护—HttpFirewall和 HTTPS
深圳市多克创新科技有限公司
10-26 1190
Spring Security漏洞防护—HttpFirewall和 HTTPS
使用 spring security 时,请求的地址栏出现使用 “//”的情况,后台报错处理方法
weixin_42437002的博客
03-10 4983
使用 spring security 时,请求的地址栏出现使用 "//"的情况,后台报错如下: org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "//" at org.springframework.security.web.firewall.
threw exception org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially
最新发布
03-11
<think>好的,我现在需要解决用户提到的Spring Security中的RequestRejectedException问题。用户提供的引用信息显示,这个错误通常是因为URL未规范化或被检测到潜在的安全风险。用户已经给出了一些解决方法,比如配置DefaultHttpFirewall,但可能还需要更详细的步骤或解释。 首先,我要确认这个异常的原因。根据引用[1]和[4],当URL未标准化或包含可疑字符时,Spring Security的严格防火墙会拦截请求。例如,双斜杠、路径遍历序列(如../)或特殊字符可能导致这个问题。 接下来,用户提到的解决方案是在启动类中配置DefaultHttpFirewall的Bean。引用[1]和[2]都提到了这一点,所以这应该是有效的。但需要详细说明如何正确配置,可能需要代码示例,并解释为什么这样做有效。 另外,引用[3]提到了SecurityContextHolderAwareRequestFilter,这可能在处理请求包装时相关,但用户的问题更直接与防火墙配置有关,所以可能不需要深入这部分,除非有其他问题。 用户可能需要了解其他可能的解决方案,比如放宽URL检查或自定义防火墙规则。例如,如果对接方无法修改URL,可能需要平台适配,如引用[4]所述。这时候可能需要自定义HttpFirewall来允许某些特定的非规范URL。 需要注意配置DefaultHttpFirewall可能带来的安全风险,比如允许不规范的URL可能增加攻击面。需要提醒用户权衡安全性和需求,并建议其他安全措施。 最后,生成相关问题时要围绕解决方案、替代方法、安全影响和异常的其他原因展开,以帮助用户全面了解问题。</think>### 解决Spring Security中RequestRejectedException错误的方法 当Spring Security检测到URL不规范或包含潜在危险字符时,会抛出`org.springframework.security.web.firewall.RequestRejectedException`。以下是分步解决方案: --- #### 方法1:配置`DefaultHttpFirewall`放宽URL检查 1. **在Spring Boot启动类中定义Bean** 通过替换默认的`StrictHttpFirewall`为更宽松的`DefaultHttpFirewall`,允许部分非规范化URL: ```java @Bean public HttpFirewall defaultHttpFirewall() { return new DefaultHttpFirewall(); } ``` **原理**:`DefaultHttpFirewall`对URL的检查较宽松,可避免因双斜杠(`//`)、路径遍历(如`../`)或特殊字符触发的拦截[^1][^2]。 2. **确保Security配置引用该Bean** 在`SecurityConfig`类中,需显式配置`httpFirewall`: ```java @Autowired private HttpFirewall httpFirewall; @Override protected void configure(HttpSecurity http) throws Exception { http .requestMatcher(request -> httpFirewall.getFirewalledRequest((HttpServletRequest) request)) // 其他安全配置 } ``` --- #### 方法2:自定义`HttpFirewall`规则(精细控制) 若需保留安全检查但调整特定规则,可继承`StrictHttpFirewall`并重写方法: ```java @Bean public HttpFirewall customFirewall() { StrictHttpFirewall firewall = new StrictHttpFirewall(); firewall.setAllowUrlEncodedSlash(true); // 允许URL编码的斜杠(如%2F) firewall.setAllowUrlEncodedPercent(true); // 允许百分号 firewall.setAllowBackSlash(true); // 允许反斜杠 return firewall; } ``` **适用场景**:需兼容历史API或第三方系统非规范URL时[^4]。 --- #### 方法3:检查请求处理链的过滤器配置 若异常由过滤器链中的包装类引发(如`SecurityContextHolderAwareRequestFilter`),可尝试调整过滤器顺序或禁用非必要过滤器: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .addFilterBefore(customRequestFilter(), SecurityContextHolderAwareRequestFilter.class) // 其他配置 } ``` --- #### 安全风险提示 放宽URL检查可能导致路径注入、目录遍历等漏洞。建议: - 仅在生产环境临时使用`DefaultHttpFirewall` - 配合输入验证和输出编码 - 监控日志中的异常请求模式[^4] ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值