The request was rejected because the URL contained a potentially malicious String "//"

原創 江南山水电 2020-02-23 05:12

在使用 spring security 時,請求的地址欄使用 “//”的情況是後臺報如下錯誤:

org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String "//"
	at org.springframework.security.web.firewall.StrictHttpFirewall.rejectedBlacklistedUrls(StrictHttpFirewall.java:369)
	at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:336)
	at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:194)
	at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:178)
	at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:358)
	at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:271)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.RequestContextFilter.doFilterInternal(RequestContextFilter.java:100)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.FormContentFilter.doFilterInternal(FormContentFilter.java:93)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:201)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:202)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:526)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:139)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:92)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:74)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:343)
	at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:408)
	at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
	at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:861)
	at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1579)
	at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.lang.Thread.run(Thread.java:748)

該錯誤發生的原因是 SpringSecurity設置了安全防護措施,在 StrictHttpFirewall類中設置了禁用,源碼裏面如下:

//// 因爲這個allowUrlEncodedDoubleSlash 沒有設置值.默認是false, 故不能識別 雙 //
/**
 * 因爲這個allowUrlEncodedDoubleSlash 沒有設置值.默認是false, 故不能識別 雙 //
 * 而 FORBIDDEN_DOUBLE_FORWARDSLASH 和 FORBIDDEN_DOUBLE_FORWARDSLASH 是 SpringSecurity源碼中設置的全局變量
 */
public void setAllowUrlEncodedDoubleSlash(boolean allowUrlEncodedDoubleSlash) {
        if (allowUrlEncodedDoubleSlash) {
            this.urlBlacklistsRemoveAll(FORBIDDEN_DOUBLE_FORWARDSLASH);
        } else {
            this.urlBlacklistsAddAll(FORBIDDEN_DOUBLE_FORWARDSLASH);
        }

    }

需要在自己項目中的 SpringSecurity配置類中添加如下配置即可:

	/**
	 * 配置地址欄不能識別 // 的情況
	 * @return
	 */
	@Bean
	public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
		StrictHttpFirewall firewall = new StrictHttpFirewall();
		//此處可添加別的規則,目前只設置 允許雙 //
		firewall.setAllowUrlEncodedDoubleSlash(true);
		return firewall;
	}

基本上設置如上配置,應該就能解決 雙 // 的問題了,此處做個記錄,方便學習

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

cheerp 編譯器之通用計算模塊ccm1

cheerp 通用計算模塊(ccm1) 是基於cheerp 編譯器發射出平臺格式無關的wasm中間代碼,在不同宿主之內運行的一種模塊化方式。 0x1. 不同宿主的相同代碼實現 ccm1 的一般宿主是c++實現,不同平臺編譯引用就可以,目

原創 2024-05-12 21:53:46

springboot啓動配置文件加載過程

new SpringApplication(primarySources).run(args); public SpringApplication(ResourceLoader resourceLoader, Class<?>... pri

原創 2024-05-12 10:56:20

通義靈碼企業版正式發佈,滿足企業私域知識檢索、數據合規、統一管理等需求

5 月 9 日阿里雲 AI 峯會,阿里雲智能集團首席技術官周靖人宣佈,通義靈碼企業版正式發佈,滿足企業用戶的定製化需求,幫助企業提升研發效率。 通義靈碼是國內用戶規模第一的智能編碼助手,基於 SOTA 水準的通義千問代碼模型 Code-Qw

原創 2024-05-11 21:15:01

Java程序員5面阿里終獲offer,感慨:原來阿里面試這麼嚴

    坊間傳言的阿里P6招聘需求   感覺面試還是主要圍繞簡歷來問的,所以不熟悉的東西最好不要隨便寫上去。項目和基礎都很重要,項目中最好有難點,能夠體現自己解決問題的過程和思路。   電話面: 自我介紹 事務的特性 ACID ,

原創 2024-05-11 14:54:29

arthas診斷工具使用記錄

下載  curl -O https://arthas.aliyun.com/arthas-boot.jar 啓動指定隨機端口  java -jar arthas-boot.jar --telnet-port 9991 --http-port

原創 2024-05-10 15:54:03

一招MAX降低10倍,現在它是我的了| 京東零售技術團隊

一.背景 性能優化是一場永無止境的旅程。 到家門店系統,作爲到家核心基礎服務之一,門店C端接口有着調用量高,性能要求高的特點。 C端服務經過演進,核心接口先查詢本地緩存,如果本地緩存沒有命中,再查詢Redis。本地緩存命中率99%,服務性能

原創 2024-05-10 12:41:31

深入理解分佈式鎖:原理、應用與挑戰| 京東物流技術團隊

前言 在單機環境中,我們主要通過線程間的加鎖機制來確保同一時間只有一個線程能夠訪問某個共享資源或執行某個關鍵代碼塊,從而防止各種併發修改異常。例如,在Java中提供了synchronized/Lock。但是在分佈式環境中,這種線程間的鎖機制

原創 2024-05-10 00:30:02

【開啓報名】同學看過來,Apache DolphinScheduler開源之夏課題任務正式發佈!

如果你還擁有着一張有效的“學生證”,在這個充滿機遇的夏天,我們誠邀你加入一個充滿挑戰和機遇的開源冒險——開源之夏。 這不僅是一個簡單的編程開發活動,假如你成功參加並結項之後,還能獲得中科院軟件所官方頒發的證書和獎金,簡直太有趣啦! Apa

原創 2024-05-09 11:55:30

關於Java Chassis 3的契約優先(API First)開發

本文分享自華爲雲社區《Java Chassis 3技術解密:契約優先(API First)開發》,作者: liubao68。 契約優先(API First)開發是指應用程序開發過程中,將API設計作爲第一優先級的任務。契約優先開發隨着Web

原創 2024-05-09 11:21:06

「Java開發指南」如何用MyEclipse搭建GWT 2.1和Spring?(一)

本教程將指導您如何生成一個可運行的Google Web Toolkit (GWT) 2.1和Spring應用程序,該應用程序爲域模型實現了CRUD應用程序模式。在本教程中,您將學習如何: 安裝Google Eclipse插件 爲GWT配置

原創 2024-05-08 11:36:35

眼看他搭中臺,眼看他又拆了

曾幾何時,中臺一度被當做“變革靈藥”,嫁接在“前臺作戰單元”和“後臺資源部門”之間,實現企業各業務線的“打通”和全域業務能力集成,提高開發和服務效率。但在中臺如火如荼之際,我們可以發現各大企業又在反其道而行,紛紛不斷進行“拆中臺”,那

原創 2024-05-08 11:12:05

Java中止線程的方式

正常運行結束 程序運行結束,線程自動結束。 使用退出標誌退出線程 一般 run()方法執行完,線程就會正常結束,但是,有些線程是伺服線程。它們需要長時間的運行,只有在外部某些條件滿足的情況下,才能關閉這些線程。使用一個變量來控制循環

原創 2024-05-07 23:34:59

AI 001 號員工通義靈碼入職阿里雲丨阿里云云原生 4 月產品月報

雲原生月度動態 雲原生是企業數字創新的最短路徑。 《阿里云云原生每月動態》,從趨勢熱點、產品新功能、服務客戶、開源與開發者動態等方面,爲企業提供數字化的路徑與指南。 趨勢熱點 🥇 Cloud Native Day - Indonesia 成

原創 2024-05-07 21:12:05

頻繁FullGC線上問題排查

一、問題 近期頻繁收到關於FullGC的告警 二、基礎知識介紹 2.1 Java內存結構 目前系統使用的是ParNewGC、CMS垃圾回收,此時的1.8JDK內存模型如下: 注意大對象可以直接放到老年代中,可以通過-XX:Pretenur

原創 2024-05-06 23:55:18

Java集合中的Map

Map是用於保存具有映射關係的數據集合,它具有雙列存儲的特點,即一次必須添加兩個元素,即一組鍵值對<Key,Value>,其中Key的值不可重複(當Key的值重複的時候,後面插入的對象會將之前插入的具有相同的Key值的對象覆蓋掉),Valu

原創 2024-05-06 11:34:11