spring 警告ResourceHttpRequestHandler : Path contains ..after call to StringUtils#cleanPath

最新推荐文章于 2025-02-23 05:54:18 发布
最新推荐文章于 2025-02-23 05:54:18 发布
阅读量2.5k 收藏 1
点赞数
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hvang1988/article/details/122230143
版权

 spring webmvc模块日志提示警告,有人漏洞攻击,警告如下:

o.s.w.s.r.ResourceHttpRequestHandler : Path contains "../" after call to StringUtils#cleanPath: [../../../../../..

看到如上提示,那我们使用spring webmvc模块(比如springboot)的服务器是否有攻破?

分析:

webmv地址映射大概分两类,一类是自定义的handler(@Controller),一类是文件。

../这种只作用于后者。spring mvc会先从后者找资源,找不到再从前者找

1、spring webmvc 对地址会经过一系列解析

上边的警告是解析过程中,若解析清理后的路径 仍然含有../则识别为不合法路径

springmvc 支持 /a/b/../b 等同 /a/b,解析前允许有../但解析后还有../则不合法,

如上警告,请求结束。

2、若解析通过,则最终的文件会通过 java classloader.getResource 在上下文路径中,

spring webmvc会指定路径到上下文中比如META-INF\resources\static ,指定后就可以找到。

找不到的文件通过controller地址映射,handler映射也不到就走/error结束。

3、总结:出现如上警告,说明webmvc拦截了,服务安全无需处理。

Spring Boot 中文参考指南(二)-Web
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
03-13 3031
跟其他的静态资源一样,Spring Boot 会在配置的静态内容位置检查,如果存在这样的文件,它会自动用作应用程序的图标。如果要显示一个给定状态码的自定义HTML错误页,可以将文件添加到/error目录。错误页面可以是静态HTML(即,添加到任何静态资源目录下)或者使用模版构建,文件名应该是确切状态代码或序列掩码。src/+- main/+- java/+- public/+- error/src/+- main/+- java/+- error/对于更复杂的映射,可以添加实现。
Spring源码学习:SpringMVC(4)DispatcherServlet请求入口分析
small_kai的博客
10-06 1487
目录前言HttpServlet &FrameworkServletHttpServlet #serviceFrameworkServlet#processRequestDispatcherServlet#doServicedoDispatchcheckMultipartgetHandlerAbstractHandlerMapping#getHandlerRequestMappingInfoHandlerMapping#getHandlerInternalAbstractHandlerMethodMa
Spring StringUtils下cleanPath方法运行过程
jianghuia的博客
04-21 1374
StringUtils工具位于spring-core-5.x.x.jar下org/springframework/util下,其cleanPath方法代码如下: public static String cleanPath(String path) { if (!hasLength(path)) { return path; } String pathToUse = replace(path, WINDOWS_FOLDER_SEPARATOR, FOLDER_SEPARAT...
Spring StringUtils#cleanPath method 浅析
别岸 的专栏
01-16 4247
Spring version:  1.2.6.Function: To erase any ./ or ../ in a path.Note:  Windows separators ("/") are replaced by simple dashes(/). /**  * Normalize the path by suppressing sequences lik
漏洞分析 Spring Framework路径遍历漏洞(CVE-2024-38816)
最新发布
brrdg_sefg的博客
02-23 1705
VMware Spring Framework是美国威睿(VMware)公司的一套开源的JavaJavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期,监测到Spring Framework在特定条件下,存在目录遍历漏洞(网宿评分:高危、CVSS 3.1 评分:7.5):当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。
o.s.w.s.r.ResourceHttpRequestHandler解决
weixin_44706350的博客
04-06 1868
问题:o.s.w.s.r.ResourceHttpRequestHandlerPath with “WEB-INF” or “META-INF”: [WEB-INF/jsp/index.jsp] 解决:https://blog.csdn.net/deoppressoliber/article/details/89204839
o.s.w.s.r.ResourceHttpRequestHandlerPath with "WEB-INF" or "META-INF": [WEB-INF/jsp/index.jsp]
deoppressoliber的博客
04-11 1万+
springboot项目,使用jsp作为前端页面。在application.yml配置了jsp所在位置 spring.mvc.view.prefix: /WEB-INF/jsp/ spring.mvc.view.suffix: .jsp @Controller @RequestMapping(value = "/user") public class UserController { ...
Spring MVC : ResourceHttpRequestHandler
热门推荐
Details Inside Spring
08-14 1万+
概述 ResourceHttpRequestHandler是一个HttpRequestHandler实现类,用于处理静态资源请求。 配置例子 : @Configuration public class WebMvcConfig implements WebMvcConfigurer { /** * 静态资源文件映射配置 * @param registry *...
Path contains "../" after call to StringUtils#cleanPath: [AccessAnywhere/..\..\..\..\..\..\..\..\..\..\windows\win.ini]
08-23
- *1* *2* *3* [spring 警告ResourceHttpRequestHandler : Path contains ..after call to StringUtils#cleanPath](https://blog.csdn.net/hvang1988/article/details/122230143)[target="_blank" data-report-click...
Spring源码——Spring MVC
等一杯咖啡的博客
11-22 1751
前言 内容主要参考自《Spring源码深度解析》一书,算是读书笔记或是原书的补充。进入正文后可能会引来各种不适,毕竟阅读源码是件极其痛苦的事情。 本文主要涉及书中第十一章的部分,依照书中内容以及个人理解对Spring源码进行了注释,详见Github仓库:https://github.com/MrSorrow/spring-framework Spring框架提供了构建Web应用程序的全功能MVC模...
ResourceHttpRequestHandlerSpring源码学习】
weixin_44794897的博客
07-07 229
首先由SimpleUrlHandlerMapping记录所有的映射关系;
随笔记录-springmvc_ResourceHandlerRegistry+ResourceHttpRequestHandler
XIYECODE的博客
11-23 1673
记录springboot读取静态资源
记录一下,关于Spring Boot在写web时初次加载jsp的一个坑。(Path with "WEB-INF" or "META-INF": [WEB-INF/pages/login.jsp])
灬宝宝丶的专栏
03-13 9985
刚开始接触SpringBoot ; 所用编辑器为:IDEA; 想用SpringBoot创建web工程,第一步就遇到了坑,具体如下: 添加webapp文件夹,创建目录/WEB-INF/pages/,将jsp文件放入下方; 在application.yml文件中配置: spring: mvc: view: prefix: /WEB-INF/pages/ ...
Path with “WEB-INF“ or “META-INF“: [webapp/WEB-INF/NewFile.html]
qq 117791303
11-04 529
Path with “WEB-INF“ or “META-INF“: [webapp/WEB-INF/NewFile.html]
spring boot+jsp
siyi__的博客
04-11 756
刚开始接触SpringBoot ; 所用编辑器为:IDEA; 想用SpringBoot创建web工程,第一步就遇到了坑,具体如下: 添加webapp文件夹,创建目录/WEB-INF/pages/,将jsp文件放入下方; 在application.yml文件中配置: spring: mvc: view: prefix: /WEB-INF/pages/ s...
springboot学习
qq_45315391的博客
03-19 2055
SpringBoot入门 1,SpringBoot简介 简化spring应用的开发约定大于配置 优点:1,快速创建独立运行的spring项目 ​ 2,使用嵌入式的servlet容器,无需打包成war包 ​ 3,starter自定依赖和版本控制 ​ 4,大量的自动配置,简化开发 ​ 5,无需XML配置,无代码生成 ​ 6,生成环境的运行时监控 ​ 7,与云计算天然集成 缺点:入门简单,深入难 是整个...
java httprequesthandler_Spring-webmvc源码解析之ResourceHttpRequestHandler
weixin_28842367的博客
03-02 1129
基于4.1.7.RELEASE该类继承了WebContentGenerator,WebContentGenerator可以对response进行设置header,设置缓存时间等操作,并且提供了对request的method的检查功能。ResourceHttpRequestHandler 在xml文件中的配置方法当spring检测到这样的配置,启动时会在SimpleUrlHandlerMapping...
Spring boot 2.0 版本报错 ResourceHttpRequestHandler cannot be cast to HandlerMethod
qq_29860591的博客
03-09 1524
Spring boot 2.0 版本报错 ResourceHttpRequestHandler cannot be cast to HandlerMethod 在写自定义的starter的时候,做了一个拦截器,但是在强转的时候,抛出了异常,具体如图。 代码如下: @Override public boolean preHandle(HttpServletRequest request,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hvang1988

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值