Spring Security Web : DefaultHttpFirewall HTTP防火墙(缺省模式)

最新推荐文章于 2025-04-21 06:30:00 发布
原创 最新推荐文章于 2025-04-21 06:30:00 发布 · 3.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Spring Security提供的防火墙实现,它是缺省实现但默认用严格模式。阐述了其应用的安全规则,如请求非标准化、包含特定字符串序列或斜杠会被拒绝,部分规则可开关设置。还说明了继承关系、使用方法及相关源代码版本和参考文章。

概述

功能介绍

DefaultHttpFirewallSpring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现。该实现是所谓的缺省实现,但实际上Spring Security Web缺省使用的并不是DefaultHttpFirewall,而是严格模式的StrictHttpFirewall。其原因主要是StrictHttpFirewall对安全限制更严格,但是开发人员也可以设置Spring Security Web使用DefaultHttpFirewall

DefaultHttpFirewall所应用的安全规则比较少,主要有:

  1. 如果请求URL不是标准化(normalize)的URL则该请求会被拒绝,以避免安全限制被绕过。

    • 该规则不能被禁用。
    • 仅仅检查servletPathpathInfo部分,不检查contextPath

    这里标准化的URL必须符合以下条件 :
    指定路径中,必须不能包含以下字符串序列之一 :
    ["//","./","/…/","/."]

  2. 如果请求URLURL编码后)包含了斜杠(%2f或者%2F)则该请求会被拒绝。

    通过开关函数setAllowUrlEncodedSlash(boolean) 可以设置是否关闭该规则。缺省使用该规则。

如果请求违反了以上安全规则中的任何一条,DefaultHttpFirewall会通过抛出异常RequestRejectedException拒绝该请求。

继承关系

DefaultHttpFirewall

使用介绍

缺省情况下DefaultHttpFirewall并没有被Spring Security Web使用。如果想使用DefaultHttpFirewall,可以调用FilterChainProxy#setFirewall

源代码

源代码版本 : Spring Security Web 5.1.4.RELEASE

package org.springframework.security.web.firewall;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public class DefaultHttpFirewall implements HttpFirewall {
	private boolean allowUrlEncodedSlash;

	@Override
	public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
		FirewalledRequest fwr = new RequestWrapper(request);

		if (!isNormalized(fwr.getServletPath()) || !isNormalized(fwr.getPathInfo())) {
			throw new RequestRejectedException("Un-normalized paths are not supported: " + fwr.getServletPath()
					+ (fwr.getPathInfo() != null ? fwr.getPathInfo() : ""));
		}

		String requestURI = fwr.getRequestURI();
		if (containsInvalidUrlEncodedSlash(requestURI)) {
			throw new RequestRejectedException("The requestURI cannot contain encoded slash. Got " + requestURI);
		}

		return fwr;
	}

	@Override
	public HttpServletResponse getFirewalledResponse(HttpServletResponse response) {
		return new FirewalledResponse(response);
	}

	
	public void setAllowUrlEncodedSlash(boolean allowUrlEncodedSlash) {
		this.allowUrlEncodedSlash = allowUrlEncodedSlash;
	}

	private boolean containsInvalidUrlEncodedSlash(String uri) {
		if (this.allowUrlEncodedSlash || uri == null) {
			return false;
		}

		if (uri.contains("%2f") || uri.contains("%2F")) {
			return true;
		}

		return false;
	}


	private boolean isNormalized(String path) {
		if (path == null) {
			return true;
		}

		for (int j = path.length(); j > 0;) {
			int i = path.lastIndexOf('/', j - 1);
			int gap = j - i;

			if (gap == 2 && path.charAt(i + 1) == '.') {
				// ".", "/./" or "/."
				return false;
			} else if (gap == 3 && path.charAt(i + 1) == '.' && path.charAt(i + 2) == '.') {
				return false;
			}

			j = i;
		}

		return true;
	}

}

参考文章

Spring Security 6.x 系列【60】漏洞防护篇之防火墙
记录知识、锤炼自我
06-25 1026
Firewall防火墙是互联网安全必不可少的一项技术,用以保护系统安全,防止侵入,一般服务器操作系统都会自带防火墙软件。Spring Security也提供了HTTP防火墙,用于拒绝潜在的危险请求,并对请求和响应进行包装以控制其行为。
Spring Security 6.x 系列【47】配置篇之HttpSecurityWebSecurity
记录知识、锤炼自我
05-30 2435
在之前的文档中,关于配置,我们都是基于HttpSecurity构建SecurityFilterChain,也了解了很多Spring Security的相关配置,接下来继续介绍一些其他用法。
Spring Security(学习笔记) --HttpFirewall防火墙
TONGZHOUGONGDU的博客
04-29 2328
我们知道,在Servlet容器规范中,为HttpServletRequest定义了一些属性,如ContextPath.ServletPath等,这些属性我们都可以通过get方法获得,但是,在不同的容器中,对这些属性的值处理方案也不同,有些容器会对属性的值进行预处理,有些则不会,这样就比较混乱了,不同容器的差异,有可能会造成不安全的隐患。因此,Spring Security就提供了HttpFirewall来统一进行管理。//对请求对象进行检验并封装//对返回对象进行封装主要有两个实现类。
Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)
Details Inside Spring
05-24 1万+
概述 功能介绍 StrictHttpFirewallSpring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现,该实现采用了严格模式,遇到任何可疑的请求,会通过抛出异常RequestRejectedException拒绝该请求。StrictHttpFirewall也是Spring Security Web在安全过滤器代理FilterChainP...
Spring Boot Security自带功能齐全的HttpFirewall防火墙
allway2的博客
08-09 3241
在这篇文章中,我将解释 SpringHttpFirewall 是什么,它提供的安全保护类型以及它在 SpringSecurity 中的位置。此功能,因为它被认为具有极高的风险。在讨论 Spring Security 时,通常会非常关注 Spring 的安全过滤器(这是理所当然的),但不明显的是 HttpFirewall 是我们的第一道防线。基本上,Http 防火墙实施的规则会强制增加安全性,以净化和保护我们免受可能有害的精心制作的 URL 的侵害,甚至在它们到达安全过滤器链之前。...
HttpFireWall
凌晨12点,说出你的知心话
01-06 574
public interface HttpFirewall { FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException; HttpServletResponse getFirewalledResponse(HttpServletResponse r...
全面解读Spring Cloud Zuul:从配置到优化的实战指南
热门推荐
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
02-14 168万+
在微服务架构中,API网关作为核心组件之一,承担着请求路由、负载均衡、安全认证等重要功能。Spring Cloud Zuul作为一款功能强大的API网关解决方案,得到了广泛应用。本文将深入探讨Spring Cloud Zuul的各项功能,从基础配置到工作原理,再到多层负载和应用优化,全面解析其在实际应用中的最佳实践实用技巧,为开发者提供一站式指导,助力其打造高性能、高可用的微服务架构。
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity认证服务器:OAuth2授权服务器实现
最新发布
程序媛学姐的博客
04-21 2201
OAuth2授权服务器默认使用JWT作为访问令牌格式。@Component@Override// 添加用户角色// 添加其他自定义声明@BeanSpring Authorization Server为构建OAuth2授权服务器提供了强大而灵活的支持。通过适当的配置,可以快速实现一个功能完备的认证授权中心,支持多种授权类型和客户端认证方法。本文介绍了Spring Authorization Server的基础配置、客户端注册、用户认证、令牌定制以及授权确认页面的定制方法。
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8937
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
Spring Security Web : 概念模型接口 HttpFirewall
Details Inside Spring
05-23 1548
概述 功能介绍 HttpFirewallSpring Web提供的一个接口,抽象建模HTTP防火墙这一概念。相应对象用于拒绝存在潜在风险的请求或者包装它们以控制它们的行为。该接口的实现类会被注入到FilterChainProxy,在安全过滤器链被调用之前该防火墙逻辑会被调用。如果响应对象的行为需要被限制,该防火墙也可以对响应进行包装再返回给请求方。 HttpFirewall只定义了两个接口方法,...
Spring Security 自带防火墙!你都不知道自己的系统有多安全!
2301_82242296的博客
04-13 852
设置完成之后,再去访问相同的接口,可以看到,此时虽然还是报错,但是错误是 404 了,而不是一开始那个不允许;的错了。;
8.Spring security中的HttpFirewall
EdSheeran的博客
03-11 2462
文章目录*`HttpFirewall`**8.1`HttpFirewall`简介**8.2`HttpFirewall`严格模式**8.2.1`rejectForbiddenHttpMethod`**8.2.2`rejectedBlocklistedUrls`**8.2.3`rejectedUntrustedHosts`**8.2.4`isNormalized`**8.2.5`containsOnlyPrintableAsciiCharacters`**8.3`HttpFirewall`普通模式* HttpF
Spring Security 中的HttpFirewall
2401_89221867的博客
03-09 1322
在servlet容器规范中,为HttpServletRequest定义了一些属性,如contextPath、servletPath、pathInfo、queryString等,这些属性我们都可以通过get方法获取。然而在servlet容器规范中并没有定义这些属性都可以包含哪些值,例如在servletPath和pathInfo中都可以包含RFC2396的规范()中定义的参数,不同容器对此处理方案也不同,有的容器会对此进行预处理,有的容器则不会。这种比较混乱的处理方式可能会造成安全隐患。
Spring安全方案—针对常见漏洞的保护(HTTPHttpFirewall(官方原版)
深圳市多克创新科技有限公司
04-24 724
Spring安全方案—针对常见漏洞的保护(HTTPHttpFirewall(官方原版)
Spring Security漏洞防护—HttpFirewallHTTPS
深圳市多克创新科技有限公司
10-26 1346
Spring Security漏洞防护—HttpFirewallHTTPS
Linux网络—firewalld防火墙基础(实验+理论)
qq_48191100的博客
11-04 1133
目录前言一、Firewalld,iptables概述1.1 Firewalld 简介1.2 iptables 简介1.3 Firewalld和iptables的关系1.3.1 netfilter1.3.2 Firewalld、iptables1.3.3 netfilter和Firewalld,iptables关系1.3.4 Firewalld和iptables的区别1.3.5 CentOS 6 和CentOS 7 防火墙的区别二、Firewalld2.1 Firewalld网络区域介绍2.2 Firewal
Springboot 请求路径中出现 双 \\ 问题
凌霄
07-07 1035
Springboot 请求路径中出现 双 \ 问题,
在使用 spring security 时,请求的地址栏使用 “//”的情况是后台报错处理方法
江南山水电
12-05 1万+
在使用 spring security 时,请求的地址栏使用 “//”的情况是后台报如下错误: org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "/...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值