升级springboot3后,GlobalFilter中exchange.getRequest().mutate().header(...)报错排查处理。

最新推荐文章于 2025-06-11 09:41:09 发布
原创 最新推荐文章于 2025-06-11 09:41:09 发布 · 973 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring cloud #spring boot #spring #gateway

Springboot2 升级Springboot3.3.5 网关篇

升级后 GlobalFilter 修改 header 报 UnsupportedOperationException

原代码如下: 使用 exchange.mutate()

ServerHttpRequest.Builder builder = exchange.getRequest().mutate().header(DumboConstants.TRACE_KEY, traceContext.getTraceId()).header(DumboConstants.SPAN_KEY, String.valueOf(traceContext.getSpanId()));

背景:

  • 在Springboot 2 系列中,通过mutate() 之后是可以产生一个新的可变的 ServerHttpRequest 对象,可以对请求头等一些相关属性进行调整修改。也是spring 官方推荐的方式
  • 在升级Springboot3x 之后,通过exchange.mutate()之后修改header 属性一直抛 UnsupportedOperationException。 不能去修改属性。

debug 排查后问题初步分析

在 Spring Boot 2.x 中,exchange.getRequest().mutate().header(…) 是允许的,但在 Spring Boot 3(Spring 6) 之后,这种方式会导致 UnsupportedOperationException。
在 Spring Boot 3 中,exchange.getRequest() 返回 StrictFirewallServerWebExchange,而在 Spring Boot 2 中,它返回的是 Netty 相关的 ServerHttpRequest, Spring Boot 3 引入了更严格的安全防护机制(StrictFirewallServerWebExchange),导致 mutate() 方法无法像以前一样修改请求头。

问题分析

  1. Spring Boot 3 采用了 StrictFirewallServerWebExchange
    • StrictFirewallServerWebExchangeSpring WebFlux 6
最低0.47元/天 解锁文章

200万优质内容无限畅学
spring cloud gateway全局过滤器 向request header中放数据
一只猪啊啊的博客
07-16 4万+
exchange.getRequest().getHeaders().set(); 是不能向 headers中放文件的 这时配置一个gateway全局过滤器 filter中 做了向 header放数据 /** * @Description 全局过滤器 在这里可以实现记录日志和访问权限校验等 * @Author changyandong@e6yun.com * @Created D...
springcloudGateway重写请求后,serverHttpRequest.mutate().header失效
qq_45036538的博客
12-06 6648
springGateWay重新封装请求后,请求头丢失
SpringBoot版本升级指南:x到x新特性与迁移注意事项
梵心白莲的博客
06-11 498
Spring Boot 作为 Java 开发中广受欢迎的框架,其版本的不断更新带来了诸多新特性和性能优化。从 Spring Boot 2.x 升级3.x 是一个重要的转变,本文将详细介绍 Spring Boot 3.x 的新特性以及升级过程中的注意事项,帮助技术人员顺利完成升级
微服务网关过滤器向request中添加header方法
nameverygood的博客
02-16 857
懒人笔记
springboot 升级(1.5.7.RELEASE升级到2.7.10) Tomcat启动报错
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
07-31 2127
springboot 升级 从1.5.7.RELEASE升级到2.7.10,跨度可谓是不大。具体升级原因是,Spring DoS漏洞具体什么是Spring DoS漏洞,可以从下面的文章看下升级整了我好多天。把人都给整废了。很多的注解和旧的配置都要改动,哎那是真心的一个累。话不多说。直接上代码。
Springboot学习笔记之 RequestAttributes
freeRoad
03-22 580
RequestAttributes 是一个抽象接口,定义了操作请求作用域属性的标准方法。ServletRequestAttributes 是基于 Servlet API 的具体实现,提供了对 HTTP 请求和会话的直接支持。RequestContextHolder 是一个工具类,用于在当前线程中访问和管理 RequestAttributes。通过这些组件,Spring 提供了一种灵活且解耦的方式来处理请求作用域数据,适用于各种 Web 应用场景。
Moco框架使用(五:带header的请求)
简单随风的博客
05-17 1351
moco的安装和启用请参考这篇文章 1.不带参数的get请求 [ { "description":"这是一个带header信息的post请求", "request":{ "uri":"/post/with/header&amp
String requestBodyStr = IOUtils.toString(request.getInputStream(), StandardCharsets.UTF_8);
05-10
ServerHttpRequest modifiedRequest = exchange.getRequest().mutate() .path("/new-path") .build(); // 3. 传递修改后的请求到下一环节 return chain.filter(exchange.mutate().request(modifiedRequest)....
@Slf4j @Component @ConditionalOnProperty(value = "security.xss.enabled", havingValue = "true") public class XssFilter implements GlobalFilter, Ordered { @Autowired private XssProperties xss; private final PathPatternParser pathPatternParser = new PathPatternParser(); // 路径模式缓存 private final Cache<String, PathPattern> patternCache = Caffeine.newBuilder() .maximumSize(200) .expireAfterAccess(1, TimeUnit.HOURS) .build(); // 路径匹配结果缓存 private final Cache<String, Boolean> pathMatchCache = Caffeine.newBuilder() .maximumSize(1000) .expireAfterWrite(5, TimeUnit.MINUTES) .build(); @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { ServerHttpRequest request = exchange.getRequest(); if (!xss.getEnabled()) { return chain.filter(exchange); } // GET DELETE 不过滤 HttpMethod method = request.getMethod(); if (method == null || method == HttpMethod.GET || method == HttpMethod.DELETE) { return chain.filter(exchange); } // 非json类型,不过滤 if (!isJsonRequest(exchange)) { return chain.filter(exchange); } String rawPath = request.getURI().getRawPath(); String normalizedPath = normalizePath(rawPath); if (isExcludedPath(normalizedPath)) { log.debug("Excluded path: {}", normalizedPath); return chain.filter(exchange); } ServerHttpRequestDecorator decoratedRequest = processRequest(exchange); return chain.filter(exchange.mutate().request(decoratedRequest).build()) .doOnSuccess(v -> addSecurityHeaders(exchange)); } private void addSecurityHeaders(ServerWebExchange exchange) { ServerHttpResponse response = exchange.getResponse(); if (response.isCommitted()) { return; } xss.getResponseHeaders().forEach((key, value) -> response.getHeaders().addIfAbsent(key, value) ); } private String normalizePath(String path) { try { String decoded = URLDecoder.decode(path, "UTF-8"); return StringUtils.cleanPath(decoded); } catch (UnsupportedEncodingException e) { throw new IllegalStateException("UTF-8 decode error", e); } } private boolean isExcludedPath(String path) { Boolean cached = pathMatchCache.getIfPresent(path); if (cached != null) { return cached; } boolean isExcluded = xss.getExcludePatterns().stream() .anyMatch(pattern -> { PathPattern compiled = patternCache.get(pattern, pathPatternParser::parse); boolean match = compiled != null && compiled.matches(PathContainer.parsePath(path)); log.debug("匹配检查 - 模式: {} 路径: {} 结果: {}", pattern, path, match); return match; // return compiled != null && compiled.matches(PathContainer.parsePath(path)); }); pathMatchCache.put(path, isExcluded); return isExcluded; } private ServerHttpRequestDecorator processRequest(ServerWebExchange exchange) { return new ServerHttpRequestDecorator(exchange.getRequest()) { @Override public Flux<DataBuffer> getBody() { return super.getBody() .publishOn(Schedulers.boundedElastic()) // 使用独立线程池 .map(dataBuffer -> { String content = dataBuffer.toString(StandardCharsets.UTF_8); String cleaned = EscapeUtil.clean(content); return DefaultDataBufferFactory.sharedInstance.wrap(cleaned.getBytes()); }); } @Override public HttpHeaders getHeaders() { HttpHeaders headers = new HttpHeaders(); headers.putAll(super.getHeaders()); headers.remove(HttpHeaders.CONTENT_LENGTH); return headers; } }; } @Override public int getOrder() { return -100; } /** * 是否是Json请求 * * @param exchange HTTP请求 */ public boolean isJsonRequest(ServerWebExchange exchange) { String header = exchange.getRequest().getHeaders().getFirst(HttpHeaders.CONTENT_TYPE); return StringUtils.startsWithIgnoreCase(header, MediaType.APPLICATION_JSON_VALUE); } }@Configuration @Data @ConfigurationProperties(prefix = "security.xss") public class XssProperties { /** * Xss开关 */ private Boolean enabled; /** * Ant风格排除路径列表 */ private List<String> excludePatterns = new ArrayList<>(); /** * 响应头配置 */ private Map<String, String> responseHeaders = new LinkedHashMap<>(); }做xss防护时,使用security: xss: enabled: true exclude-patterns: - "/file-server/**" - "/system-server/*/dataRule/save" - "/strategy-server/strategy/**/edit" response-headers: X-XSS-Protection: "1; mode=block" Content-Security-Policy: "default-src &#39;self&#39;" X-Content-Type-Options: "nosniff"这个配置无法过滤/strategy-server/strategy/edit为什么,则呢么修改
05-16
3. 配置文件中的重复定义(建议使用`spring.config.import`合并配置) #### 四、推荐配置方案 ```yaml # application.yml mica: xss: enabled: true exclude-patterns: - "/static/**" # 静态资源放行 - "/...
Cannot resolve configuration property &#39;spring.cloud.gateway.global-filters
04-03
exchange.getRequest().mutate() .header("X-Custom-Header", "Custom Value"); return chain.filter(exchange); }; } } ``` 此方法绕过了 yaml/json 格式的静态描述方式而直接采用编程手段动态构建对象实例,...
package com.corilead.utlis; import com.alibaba.fastjson.JSON; import com.casic.cplm.audit.dto.AuditTrailDto; import java.time.Instant; import org.springframework.web.reactive.function.client.*; import reactor.core.publisher.Mono; import reactor.core.scheduler.Schedulers; public class ParamFilter implements ExchangeFilterFunction { public static final String CUSTOM_PARAM_KEY = "customParam"; @Override public Mono<ClientResponse> filter(ClientRequest request, ExchangeFunction next) { AuditTrailDto operLog = new AuditTrailDto(); String requestBody = (String) request.attributes().getOrDefault(CUSTOM_PARAM_KEY, ""); setupBaseOperationInfo(operLog, request, requestBody); return next.exchange(request) .flatMap(response -> response.bodyToMono(String.class) .defaultIfEmpty("[empty-body]") .doOnNext(body -> Mono.fromRunnable(() -> { operLog.setDescription(JSON.toJSONString(body)); operLog.setStatus(response.statusCode().value()); System.out.println("OperLog: " + operLog); }).subscribeOn(Schedulers.boundedElastic()).subscribe() ) .then(Mono.just(response)) ) .onErrorResume(e -> handleError(e, operLog)); } private void setupBaseOperationInfo( AuditTrailDto operLog, ClientRequest request, String requestBody) { operLog.setEventName("系统内部调用第三方"); operLog.setExtraParams(requestBody); operLog.setResourceType(request.method().name()); operLog.setEventTime(Instant.now()); } private Mono<ClientResponse> handleError(Throwable e, AuditTrailDto operLog) { operLog.setStatus(500); operLog.setDescription(e.getMessage()); System.out.println("Error operLog: " + operLog); return Mono.error(e); } } 修改代码 拦截后接口无响应
最新发布
06-25
WebFilterChainchain){//假设我们要添加一个参数ServerHttpRequestmodifiedRequest=exchange.getRequest().mutate().header("X-Added-Header","value").build();//也可以修改查询参数,但注意ServerHttpRequest是不...
修改request请求的header请求头
热门推荐
HEYAha的博客
04-26 2万+
问题和场景 默认http传输不能中途修改http内容, 但是有很多时候都需要去修改请求头信息来达到某些目的,比如我这个情况: 我需要去修改Authorization请求头来替换token,我在网上看了好多博客都是HttpServletRequest类的或者是想用反射解决,但是我这里(ServerHttpRequest)并不适用,于是我去求助大佬后得出2个解决方案,并且ServerHttpRequest和HttpServletRequest都适用。 解决 方案一 直接开放权限 这个方...
ServerHttpRequest(ServerWebExchange)修改请求参数修改请求头
weixin_45795306的博客
11-15 8537
ServerHttpRequest重新设置URI,编辑请求头
springcloud gateway GlobalFilter 签名校验,获取Post请求体
梦想起飞的地方.........
04-09 5365
springcloud gateway GlobalFilter 签名校验,获取Post请求体 前言 网上有很多方式获取Post请求内容,尝试了好多种方式,都不是最佳的使用方式。 方式一 网上大多的解决方会有很多坑,网上说最大只能1024B(点击快速传送),个人没有采用 if ("POST".equals(method)) { //从请求里获取Post请求体 S...
浅挖一下微服务,网关添加请求头进行数据传递
juanshe的博客
08-09 573
无意中留心的一串代码,就浅浅的挖了一下,发现还挺有意思。
Spring Cloud Gateway 如何动态添加请求参数
SharingOfficer的博客
12-04 4545
背景介绍 项目使用的技术栈是Spring Cloud,有个功能需求是: 业务上,在Spring Cloud Gateway模块的服务已经可以获取到token,并且已实现鉴权通过后从token获取到身份信息; 现在希望把身份信息,填充到request参数里面(这里把多个数据封装成一个BaseDTO对象,用于扩展)。 后续处理具体业务的微服务模块,在controller层的方法传参,只要继承了BaseDTO对象,就可以直接获取到身份信息,用于业务逻辑处理。 问题描述 简单来说,问题就是 Spring
SpringCloudGateway请求/响应拦截,加/解密
灼烧的疯狂
12-22 1万+
前言: 目前就是对请求的request body ,url param 在网关进行拦截、做解密操作,对 response body 做加密操作 这边初期就打算先用非对称加密对请求响应进行处理,后续如果项目开展顺利,再改成HTTPS通信(节约钱、先看项目起得来不了)。翻阅了一些博文,抄袭了一下,自己稍作修改。下面直接上代码了,自己做个记录吧 请求体(request body)拦截 import com.ruoyi.gateway.util.RSACoderUtil; import org.apache.co
SpringCloudGateway--过滤器(内置filter)
有问题请发邮箱dengyifanlittle@163.com进行讨论
12-06 8077
目录一、概览二、内置过滤器1、StripPrefix2、AddRequestHeader3、AddResponseHeader4、DedupeResponseHeader5、AddRequestParameter6、CircuitBreaker7、FallbackHeaders8、RequestRateLimiter9、RedirectTo10、RemoveRequestHeader11、RemoveResponseHeader12、RemoveRequestParameter13、RewritePath
SpringCloud:学习Gateway网关拦截器的ServerWebExchange
z69183787的专栏
11-26 1万+
1.Gateway的拦截器 我们要在项目中实现一个拦截器,需要继承两个类:GlobalFilter, Ordered GlobalFilter:全局过滤拦截器,在gateway中已经有部分实现,具体参照:https://www.cnblogs.com/liukaifeng/p/10055862.html Ordered:拦截器的顺序,不多说 于是一个简单的拦截器就有了 @Slf4j @Component public class AuthFilter implements GlobalFil
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值