shuxiaohua的博客

meta元素导致页面重定向，产生钓鱼攻击示例其他场景不断完善中

背景后端编程中会经常对url做校验，常见的场景如下访问控制，比如静态资源不鉴权(目前都是前后端分离，并且分开部署，这种场景应该比较少了)重定向，防止前端传入高危URL，导致信息泄漏啥的URL校验绕过场景利用spring框架特性绕过访问spring mvc启用suffix-pattern=true时，URL加任意后缀都能访问到对应的接口。比如/a/b.html也能匹配到@RequestMapping("/a/b")的接口。如果定义Filter，判断.html结尾的url，则认为是静态资源，