【shiro】shiro升级1.7以上版本url请求报400的问题(提示“HTTP状态 400 - 错误的请求”)

已于 2024-11-26 13:03:07 修改
阅读量293 收藏
点赞数 2
分类专栏: 杂七杂八 文章标签: shiro
于 2024-10-22 10:41:14 首次发布

shift,查询好久资料才找到。

Shiro版本升级到1.7及以上版本后,新增了对非ASCII字符的校验,主要涉及到InvalidRequestFilter类中的blockNonAscii属性。当该属性设置为true时(这是默认值),Shiro会拦截任何包含非ASCII字符的请求,从而导致400错误。

我是老springmvc项目,

在xml中配置

	<bean id="invalidRequestFilter" class="org.apache.shiro.web.filter.InvalidRequestFilter">
		<property name="blockNonAscii" value="false" /> <!-- 允许非ASCII字符通过 -->
	</bean>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="filterChainDefinitions">
        <value>
            /statics/**=anon
            /files/**=anon
            /captcha.jpg=anon
            /**=authc
        </value>
    </property>
    <!-- 配置过滤器,应用 InvalidRequestFilter -->
    <property name="filters">
        <map>
            <entry key="invalidRequest" value-ref="invalidRequestFilter" />
        </map>
    </property>
</bean>

就可以了

springboot项目的话,在Spring配置中注入一个自定义的InvalidRequestFilter实例,并设置blockNonAscii属性为false

@Bean
public InvalidRequestFilter invalidRequestFilter() {
    InvalidRequestFilter invalidRequestFilter = new InvalidRequestFilter();
    invalidRequestFilter.setBlockNonAscii(false); 
    return invalidRequestFilter;
}

@Bean
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
    ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
    factoryBean.setSecurityManager(securityManager);
    // 添加自定义的InvalidRequestFilter
    factoryBean.setFilters(new HashMap<String, Filter>() {{
        put(DefaultFilter.invalidRequest.name, invalidRequestFilter());
    }});
    return factoryBean;
}

解决Shiro升级1.7之后后全角url请求400问题
qianli918的博客
03-17 815
这个文档讲的很清楚,这里记录下我项目的解决方法。shiro1.6升级1.7后的问题处理_GreenHand2333的博客-程序员宝宝 - 程序员宝宝 下载当前使用的shiro jar的版本对应的源代码 shiro/InvalidRequestFilter.java at main · apache/shiro · GitHub 单独注释掉这一行:&& isValid(request.getPathInfo()); @Override protected boolea
标准Spring项目升级shiro1.10.0后 url路径带中文400错误简单有效解决
最新发布
crppyjl的专栏
11-12 548
标准Spring项目升级shiro1.10.0后 url路径带中文400错误,简单有效不踩坑的方案
shiro1.6.0升级1.7.1版本请求路径中带有中文接口400
weixin_43779793的博客
07-22 1544
shiro1.6升级1.7请求路径中有中文接口400
解决配置Shiro后中文url请求400问题
m0_67391121的博客
04-12 1206
原因 来自Shiro的一个过滤器 具体信息和解决方法到我的这个博客看点此跳转
踩坑!!400(bad request)的解决方案
sxh06的博客
04-18 1万+
最近在做一个ssm+shiro的在线组卷,在线考试平台时,我在考生点击交卷按钮后发送一个ajax请求给后端,完成交卷,但是前端却提示如下 ajax请求如下: url:'jiafen?content='+content+'&myselect='+val+"&examId="+'${sessionScope.thisenexamId}'+'&username='+'${user.username}' 好家伙400,然后我就一顿百度,网友说是什么请求参数的问题,参数个数不匹配,请求无法
升级Shiro导致返回400错误的解决方案
painstaker的专栏
02-06 1030
升级Shiro版本后,请求URL带中文,返回400错误的解决方案。
Shiro (http:/xxxxx/;JSESSIONID=xxxx) InvalidRequestFilter 400无法跳转到登录页问题
t0m的专栏
05-27 2627
shiro: 1.6 spring: 5.2 访问:http://localhost:8080/demo/;JSESSIONID=655def62-75b3-4ab1-ae27-b7d0e42c431a时, 出现400错误页面,无法跳转到登录页。 当浏览器本地cookie禁用或者部分链接跳转时,会默认加上 ;JSESSIONID= 参数传递cookie中存储的sessionId, 后端Filter过滤器会首先尝试从cookie中获取sessionId,获取不到时尝试解析uri连接(;/JSESSIO.
CVE-2022-40664 ShiroFilter1.71.10对于forward请求的处理
xyjy11的博客
10-14 4516
shiroFilter拦截forward、include请求
SpringBoot完整版(六)- Shiro
Roc的博客
02-02 255
SpringBoot完整版(六)- Shiro一、概述1.1 简介1.2 功能1.3 Shiro架构(外部)1.4 Shiro架构(内部)1.5 认证流程二、快速入门2.1 拷贝案例2.2 分析案例三、SpringBoot 集成 Shiro3.1 编写配置文件3.2 搭建简单测试环境3.3 使用四、Shiro 整合 Mybatis4.1 配置环境4.2 Shiro + Mybatis 结合使用五、Shiro 请求授权实现5.1 设置权限5.2 授予权限5.3 数据库操作六、Shiro 整合 Thymele
Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现
smellycat000的专栏
11-12 2033
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介Apache Shiro作为Java框架,可被用于身份认证、授权等任务。整合Apache S...
springboot shiro升级请求路径URL path传中文参数400invalid reqeust
weixin_52472152的博客
09-13 1311
将项目中的fhiro升级后发现通过url path传中文的所有请求400 invalid reqeust错误1ShiroConfig类增加InvalidRequestFilter Bean。2、修改shiro过滤器配置Bean增加。3、重启应用,问题解决。完整的过滤器配置如下。
shiro1.6升级1.7后的问题处理
热门推荐
qq_35598240的博客
11-29 1万+
由于shiro1.6出现了安全漏洞,需要进行1.7升级 问题描述 进行升级后有个url突然访问不了,HTTP返回了400,Invaild Request。 接收的URL为 xxx/detail/{name}。 前端传递的地址为 xxx%2fdetail%2f%e6%88%bf%e4%ba%a7(带有中文,已用URL编码) 思路 看到HTTP响应400,我在想是前端参数出了什么问题吗?还是后台接收参数改动了吗? 看了git记录,这边没人改动,那这就很灵性了,只能通过调试找出哪个地方访问了400了,我
Spring boot整合shiro问题400或者302
m0_56288138的博客
08-11 968
鹤酒的空间个人认为首先和重定向没有关系,根前端发送请求格式有关系接下来看代码,搞了一周才发现不是我shiro问题是我自己的问题,在研究过程中我发现虽然知道在shiro重定向于重定向之前有关系,但是我依然找不出问题,查阅了很多的帖子/博客/csdn/腾讯云社区等等都没有找到满意的答案,后来我自己又狠下心仔仔细细的检查了一遍,通过对通义千问的依赖和帮助,最后发现了不对的地方,这是我的代码。
解决Shiro第一次重定向url带有jsessionid导致400错误
shellhard的博客
02-20 2881
Shiro进行第一次重定向时,会在url后携带jsessionid,这会导致400错误(无法找到该网页)。 原因在于ShiroHttpServletResponse配置类的doIsEncodeable当中,会将url自动拼接jsessionid。 解决办法: 在Shiro的配置类中的sessionManager()方法中,将sessionIdUrlRewritingEnabled属性设置为false。该方法返回一个DefaultWebSessionManager实例。 将上面方法返回的实例设置为Defa
解决shiro升级1.6后url拼接;jsession引发400问题
bgxabc的博客
01-22 1681
shiro.xml文件中添加配置 配置解析 1、添加 sessionManager bean <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <!-- 去掉url ;jsessionid= --> <propert...
解决ShiroHttpServletRequest文件上传的问题
wokuailewozihao的专栏
12-11 4372
之前一直使用的spring,现在使用的springboot,出现了一个奇怪的问题,先看问题出处: //这里获取到的request是ShiroHttpServletRequest HttpServletRequest request = ServletUtils.getRequest(); //需要把ShiroHttpServletRequest转成MultipartHttpServletReq...
一次请求资源模板中文路径400问题处理
小不点灬的专栏
08-05 1412
请求中文路径400
shiro最新版本 1.6.0登录bug修复
m0_67391120的博客
04-07 1595
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。但实际升级后,使用中发现第一次打开浏览器访问时会出现Invalid request。具体错误提示如下: 降级到1.4.2时是可以正常登录的,反复试验几次,确定是升级shiro版本引起,阅读shiro 1.6.0源码,发现shiro引入了InvalidRequestFilter过滤器,目的是验证url上是否有恶意伪造的特殊字符。但这个类也正好将登录url拼接的 ;jsessionId=xxx 也一起拦截了,结果就出现了上图中的错
SpringBoot + shiro 导致通过ResourceHandlerRegistry配置的静态资源中文名称无法访问原因
每天进步一点就够了
12-25 2833
项目场景: 项目使用的springboot+shiro,出于其他原因考量,静态资源是直接使用的springboot 框架本身的ResourceHandlerRegistry来进行配置访问的,没有使用Nginx,Apache等 问题描述: 项目中的一些静态资源是通过配置ResourceHandlerRegistry来进行访问的,即通过复写WebMvcConfigurer,列如: @Slf4j @Configuration public class WebConfig implements WebMvcCo
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木有会

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值