Spring Security 自带防火墙！你都不知道自己的系统有多安全！

之前有小伙伴表示，看 Spring Security 这么麻烦，不如自己写一个 Filter 拦截请求，简单实用。

自己写当然也可以实现，但是大部分情况下，大家都不是专业的 Web 安全工程师，所以考虑问题也不过就是认证和授权，这两个问题处理好了，似乎系统就很安全了。

其实不是这样的！

各种各样的 Web 攻击每天都在发生，什么固定会话攻击、csrf 攻击等等，如果不了解这些攻击，那么做出来的系统肯定也不能防御这些攻击。

使用 Spring Security 的好处就是，即使不了解这些攻击，也不用担心这些攻击，因为 Spring Security 已经帮你做好防御工作了。

我们常说相比于 Shiro，Spring Security 更加重量级，重量级有重量级的好处，比如功能全，安全管理更加完备。用了 Spring Security，你都不知道自己的系统有多安全！

今天我就来和大家聊一聊 Spring Security 中自带的防火墙机制。

本文是 Spring Security 系列的第 15 篇，阅读本系列前面的文章有助于更好的理解本文：

挖一个大坑，Spring Security 开搞！
松哥手把手带你入门 Spring Security，别再问密码怎么解密了
手把手教你定制 Spring Security 中的表单登录
Spring Security 做前后端分离，咱就别做页面跳转了！统统 JSON 交互
Spring Security 中的授权操作原来这么简单
Spring Security 如何将用户数据存入数据库？
Spring Security+Spring Data Jpa 强强联手，安全管理只有更简单！
Spring Boot + Spring Security 实现自动登录功能
Spring Boot 自动登录，安全风险要怎么控制？
在微服务项目中，Spring Security 比 Shiro 强在哪？
SpringSecurity 自定义认证逻辑的两种方式(高级玩法)
Spring Security 中如何快速查看登录用户 IP 地址等信息？
Spring Security 自动踢掉前一个登录用户，一个配置搞定！
Spring Boot + Vue 前后端分离项目，如何踢掉已登录用户？

好了，不废话了，我们来看文章。

1.HttpFirewall

在 Spring Security 中提供了一个 HttpFirewall，看名字就知道这是一个请求防火墙，它可以自动处理掉一些非法请求。

HttpFirewall 目前一共有两个实现类：

一个是严格模式的防火墙设置，还有一个默认防火墙设置。

DefaultHttpFirewall 的限制相对于 StrictHttpFirewall 要宽松一些，当然也意味着安全性不如 StrictHttpFirewall。

Spring Security 中默认使用的是 StrictHttpFirewall。

2.防护措施

那么 StrictHttpFirewall 都是从哪些方面来保护我们的应用呢？我们来挨个看下。

2.1 只允许白名单中的方法

首先，对于请求的方法，只允许白名单中的方法，也就是说，不是所有的 HTTP 请求方法都可以执行。

这点我们可以从 StrictHttpFirewall 的源码中看出来：

public class StrictHttpFirewall implements HttpFirewall {private Set<String> allowedHttpMethods = createDefaultAllowedHttpMethods();private static Set<String> createDefaultAllowedHttpMethods() {Set<String> result = new HashSet<>();result.add(HttpMethod.DELETE.name());result.add(HttpMethod.GET.name());result.add(HttpMethod.HEAD.name());result.add(HttpMethod.OPTIONS.name());result.add(HttpMethod.PATCH.name());result.add(HttpMethod.POST.name());result.add(HttpMethod.PUT.name());return result;}private void rejectForbiddenHttpMethod(HttpServletRequest request) {if (this.allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {return;}if (!this.allowedHttpMethods.contains(request.getMethod())) {throw new RequestRejectedException("The request was rejected because the HTTP method \"" +request.getMethod() +"\" was not included within the whitelist " +this.allowedHttpMethods);}}
}

从这段代码中我们看出来，你的 HTTP 请求方法必须是 DELETE、GET、HEAD、OPTIONS、PATCH、POST 以及 PUT 中的一个，请求才能发送成功，否则的话，就会抛出 RequestRejectedException 异常。

那如果你想发送其他 HTTP 请求方法，例如 TRACE ，该怎么办呢？我们只需要自己重新提供一个 StrictHttpFirewall 实例即可，如下：

@Bean
HttpFirewall httpFirewall() {StrictHttpFirewall firewall = new StrictHttpFirewall();firewall.setUnsafeAllowAnyHttpMethod(true);return firewall;
}

其中，setUnsafeAllowAnyHttpMethod 方法表示不做 HTTP 请求方法校验，也就是什么方法都可以过。或者也可以通过 setAllowedHttpMethods 方法来重新定义可以通过的方法。

2.2 请求地址不能有分号

不知掉大家有没有试过，如果你使用了 Spring Security，请求地址是不能有 ; 的，如果请求地址有 ; ，就会自动跳转到如下页面：

可以看到，页面的提示中已经说了，因为你的请求地址中包含 ;，所以请求失败。

什么时候请求地址中会包含 ; 呢？不知道小伙伴们在使用 Shiro 的时候，有没有注意到，如果你禁用了 Cookie，那么 jsessionid 就会出现在地址栏里，像下面这样：

http://localhost:8080/hello;jsessionid=xx

这种传递 jsessionid 的方式实际上是非常不安全的（松哥后面的文章会和大家细聊这个问题），所以在 Spring Security 中，这种传参方式默认就禁用了。

当然，如果你希望地址栏能够被允许出现 ; ，那么可以按照如下方式设置：

@Bean
HttpFirewall httpFirewall() {StrictHttpFirewall firewall = new StrictHttpFirewall();firewall.setAllowSemicolon(true);return firewall;
}

设置完成之后，再去访问相同的接口，可以看到，此时虽然还是报错，但是错误是 404 了，而不是一开始那个不允许 ; 的错了。

注意，在 URL 地址中，; 编码之后是 %3b 或者 %3B，所以地址中同样不能出现 %3b 或者 %3B

题外话

有的小伙伴可能不知道或者没用过，Spring3.2 开始，带来了一种全新的传参方式 @MatrixVariable。

@MatrixVariable 是 Spring3.2 中带来的功能，这种方式拓展了请求参数的传递格式，使得参数之间可以用 ; 隔开，这种传参方式真是哪壶不开提哪壶。因为 Spring Security 默认就是禁止这种传参方式，所以一般情况下，如果你需要使用 @MatrixVariable 来标记参数，就得在 Spring Security 中额外放行。

接下来我通过一个简单的例子来和大家演示一下 @MatrixVariable 的用法。

我们新建一个 /hello 方法：

@RequestMapping(value = "/hello/{id}")
public void hello(@PathVariable Integer id,@MatrixVariable String name) {System.out.println("id = " + id);System.out.println("name = " + name);
}

另外我们还需要配置一下 SpringMVC，使 ; 不要被自动移除了：

@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {@Overrideprotected void configurePathMatch(PathMatchConfigurer configurer) {UrlPathHelper urlPathHelper = new UrlPathHelper();urlPathHelper.setRemoveSemicolonContent(false);configurer.setUrlPathHelper(urlPathHelper);}
}

然后启动项目(注意，Spring Security 中也已经配置了允许 URL 中存在 ;)，浏览器发送如下请求：

http://localhost:8080/hello/123;name=javaboy

控制台打印信息如下：

id = 123
name = javaboy

可以看到，@MatrixVariable 注解已经生效了。

2.3 必须是标准化 URL

请求地址必须是标准化 URL。

什么是标准化 URL？标准化 URL 主要从四个方面来判断，我们来看下源码：

StrictHttpFirewall#isNormalized：

private static boolean isNormalized(HttpServletRequest request) {if (!isNormalized(request.getRequestURI())) {return false;}if (!isNormalized(request.getContextPath())) {return false;}if (!isNormalized(request.getServletPath())) {return false;}if (!isNormalized(request.getPathInfo())) {return false;}return true;
}

getRequestURI 就是获取请求协议之外的字符；getContextPath 是获取上下文路径，相当于是 project 的名字；getServletPath 这个就是请求的 servlet 路径，getPathInfo 则是除过 contextPath 和 servletPath 之后剩余的部分。

这四种路径中，都不能包含如下字符串：

"./", "/../" or "/."

2.4 必须是可打印的 ASCII 字符

如果请求地址中包含不可打印的 ASCII 字符，请求则会被拒绝，我们可以从源码中看出端倪：

StrictHttpFirewall#containsOnlyPrintableAsciiCharacters

private static boolean containsOnlyPrintableAsciiCharacters(String uri) {int length = uri.length();for (int i = 0; i < length; i++) {char c = uri.charAt(i);if (c < '\u0020' || c > '\u007e') {return false;}}return true;
}

2.5 双斜杠不被允许

如果请求地址中出现双斜杠，这个请求也将被拒绝。双斜杠 // 使用 URL 地址编码之后，是 %2F%2F，其中 F 大小写无所谓，所以请求地址中也能不出现 “%2f%2f”, “%2f%2F”, “%2F%2f”, “%2F%2F”。

如果你希望请求地址中可以出现 // ，可以按照如下方式配置：

@Bean
HttpFirewall httpFirewall() {StrictHttpFirewall firewall = new StrictHttpFirewall();firewall.setAllowUrlEncodedDoubleSlash(true);return firewall;
}

2.6 % 不被允许

如果请求地址中出现 %，这个请求也将被拒绝。URL 编码后的 % 是 %25，所以 %25 也不能出现在 URL 地址中。

如果希望请求地址中可以出现 %，可以按照如下方式修改：

@Bean
HttpFirewall httpFirewall() {StrictHttpFirewall firewall = new StrictHttpFirewall();firewall.setAllowUrlEncodedPercent(true);return firewall;
}

2.7 正反斜杠不被允许

如果请求地址中包含斜杠编码后的字符 %2F 或者 %2f ，则请求将被拒绝。

如果请求地址中包含反斜杠 \ 或者反斜杠编码后的字符 %5C 或者 %5c ，则请求将被拒绝。

如果希望去掉如上两条限制，可以按照如下方式来配置：

@Bean
HttpFirewall httpFirewall() {StrictHttpFirewall firewall = new StrictHttpFirewall();firewall.setAllowBackSlash(true);firewall.setAllowUrlEncodedSlash(true);return firewall;
}

2.8 `.` 不被允许

如果请求地址中存在 . 编码之后的字符 %2e、%2E，则请求将被拒绝。

如需支持，按照如下方式进行配置：

@Bean
HttpFirewall httpFirewall() {StrictHttpFirewall firewall = new StrictHttpFirewall();firewall.setAllowUrlEncodedPeriod(true);return firewall;
}

2.9 小结

需要强调一点，上面所说的这些限制，都是针对请求的 requestURI 进行的限制，而不是针对请求参数。例如你的请求格式是：

http://localhost:8080/hello?param=aa%2ebb

那么 2.7 小节说的限制和你没关系。

这个大家从 StrictHttpFirewall 源码中很容易看到：

public class StrictHttpFirewall implements HttpFirewall {@Overridepublic FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {rejectForbiddenHttpMethod(request);rejectedBlacklistedUrls(request);rejectedUntrustedHosts(request);if (!isNormalized(request)) {throw new RequestRejectedException("The request was rejected because the URL was not normalized.");}String requestUri = request.getRequestURI();if (!containsOnlyPrintableAsciiCharacters(requestUri)) {throw new RequestRejectedException("The requestURI was rejected because it can only contain printable ASCII characters.");}return new FirewalledRequest(request) {@Overridepublic void reset() {}};}private void rejectedBlacklistedUrls(HttpServletRequest request) {for (String forbidden : this.encodedUrlBlacklist) {if (encodedUrlContains(request, forbidden)) {throw new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\"");}}for (String forbidden : this.decodedUrlBlacklist) {if (decodedUrlContains(request, forbidden)) {throw new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\"");}}}private static boolean encodedUrlContains(HttpServletRequest request, String value) {if (valueContains(request.getContextPath(), value)) {return true;}return valueContains(request.getRequestURI(), value);}private static boolean decodedUrlContains(HttpServletRequest request, String value) {if (valueContains(request.getServletPath(), value)) {return true;}if (valueContains(request.getPathInfo(), value)) {return true;}return false;}private static boolean valueContains(String value, String contains) {return value != null && value.contains(contains);}
}

rejectedBlacklistedUrls 方法就是校验 URL 的，该方法逻辑很简单，我就不再赘述了。

注意：虽然我们可以手动修改 Spring Security 中的这些限制，但是松哥不建议大家做任何修改，每一条限制都有它的原由，每放开一个限制，就会带来未知的安全风险。后面松哥在和大家分享 Web 中的安全攻击时，也会再次提到这些限制的作用，请小伙伴们保持关注哦。

3.总结

没想到吧？Spring Security 竟然为你做了这么多事情！正好应了那句鸡汤：

你所谓的岁月静好,不过是有人在替你负重前行。

好了，不知道大家有没有 GET 到呢？如果有收获，记得点个在看鼓励下松哥哦～

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

Kotlin入门：集合操作
1. 介绍作为Kotlin入门的第二课，不打算按照教程从基础数据类型开始，而是直接学习至关重要的集合部分。因为一般的应用开发都离不开数据，数据处理就要用到集合，而只有深入了解集合，包括概念及不同类型的集合分别实现了哪些方法，才能在需要的时候快速选出最合适的集合与对…...
2024/4/4 21:55:28
Linux必学的60个命令(6)-其他命令
Linux必学的60个命令：其它命令在前面几讲中，我们把Linux命令按照在系统中的作用分成几个部分分别予以介绍。但是，还有一些命令不好划分，然而学习它们同样是比较重要的。 tar1.作用tar命令是Unix/Linux系统中备份文件的可靠方法，几乎可以工作于任何环境中，它的使用权限是所…...
2024/4/19 16:55:37
javascript的json比对插件
在 http://www.ecjson.com/jsondiff 看到1款js的json比对插件，觉得挺好就拔了下来，仅供大家学习使用优点： json格式检测，高亮显示，json比对3种显示模式默认模式<script> $(function () {var JSON_PARAM = utils._getURLParameter(json);// this needs to be in a co…...
2024/4/16 22:35:57
Spring Security 中如何快速查看登录用户 IP 地址等信息？
上篇文章跟大家聊了如何使用更加优雅的方式自定义 Spring Security 登录逻辑，更加优雅的方式可以有效避免掉自定义过滤器带来的低效，建议大家一定阅读一下，也可以顺便理解 Spring Security 中的认证逻辑。本文将在上文的基础上，继续和大家探讨如何存储登录用户详细信息的问…...
2024/4/16 22:35:39
Kotlin VS Swift
Kotlin是Android的最新开发语言；Swift是iOS的最新开发语言；二者语法很像，下面就对比一下。Kotlin中文网站： https://www.kotlincn.net/docs/reference/basic-syntax.html按官方文档顺序说明：功能KotlinSwift说明定义包package com.*.* …...
2024/4/16 22:35:57
SpringSecurity | spring security oauth2.0 配置源码分析（一）
微信公众号：吉姆餐厅ak 学习更多源码知识，欢迎关注。概述在微服务发展迅速的今天，认证授权独立成微服务已是一种趋势，不仅承担着整个系统访问入口的认证和授权，还要易于扩展，能更好的接入第三方服务。而当今Oauth2协议在认证授权领域大行其道，算是功能比较完整的权限协…...
2024/3/31 22:28:49
Android配置文件操作模块封装，全互联网最简单好用的封装
Android中虽然提供了SharedPreference类方便的对配置文件进行操作。但是好用吗？假如有成百上千的参数需要存储，这样一个个分散的写法累死个人啊。本来几分钟能搞定的活，你可能得几个钟头。效率能是一个等级？且到处分散的写法，也容易让人看晕，给维护造成困难。先来看结果：…...
2024/4/18 10:57:29
使用工具Android Studio实现一个简单的Android版的新闻APP
目的：这是我学完Android课程后所写的一个小的、简单版的新闻APP技术概要：用到了SQLite数据库，用它来存储每篇新闻下的评论新闻的来源是新浪新闻，我通过使用Fiddler来对新浪新闻APP进行分析，发现了它们传递新闻的接口，也就是得到了json数据，然后解析json数据就可以得到新…...
2024/4/17 21:30:37
WinMerge比对java文件设置
因为我的svn目录和实际开发的代码目录是两个目录，所以需要每次从SVN更新代码之后，对两个目录做一个内容比较，同步新引入的代码文件。这样可以使用WM的名为“Exclude Source Control”过滤器，下面黑体字部分是我针对自己的Java项目的情况做了一些调整： ## This is a direct…...
2024/4/16 22:36:45
开始迁移到 Kotlin | Kotlin 迁移指南 (中篇)
今年五月份的 Google I/O 上，我们正式向全球宣布 Kotlin-first 的这一重要理念，Kotlin 将成为 Android 开发者的首选语言，十月份举办的 Android Dev Summit 2019 大会上，我们发布了使用 Kotlin API 开发的 Jetpack Compose 开发者预览版。我们于近期开始连载了关于 Kotlin …...
2024/4/16 22:36:57
android基础---背景音乐实现
1.背景音乐在menu中设置： menu.xml <menu xmlns:android="http://schemas.android.com/apk/res/android"xmlns:tools="http://schemas.android.com/tools"tools:context="com.echo.sb.MainActivity" ><itemandroid:id="@+id/acti…...
2024/4/18 18:57:12
新闻资讯类的数据表
标识新闻的唯一标识 ID int (自增长) （主键）新闻标题 Title varchar(100) 可以根据需要来设置新闻作者 Author varchar(20) 长度根据用户表中的用户名列表的长度来定发布时间 ReleaseTime da…...
2024/5/2 7:28:34
AOI中通用的图像检测算法实现——母版比对
在我的上一篇文章中介绍了AOI中通用的图像检测方法——母版比对。现在如下的代码实现了如何进行母版比对。其中提升检测率的方法有3个：（1）将RGB图转换为灰度图再进行比对（2）将母版图上的金面作为ROI （3）使用腐蚀算子来消除边缘干扰**********************************…...
2024/4/16 22:36:57
Spring Security 初识（五）--spring security 和jwt整合实现安全的resutful api
Spring Security 初识（五）–spring security 和jwt整合什么是 JWTjson web token (JWT),是为了在网络环境中传递声明而设计的一种基于JSON的开放标准(RFC 7519),该token 被设计为紧凑且安全的.特别使用于分布式站点的登陆(SSO) 场景.JWT一般被用来在服务提供者和服务认证者之…...
2024/4/16 22:36:51
Kotlin Coroutines(协程)
Kotlin Coroutines(协程)原文链接：https://blog.dreamtobe.cn/kotlin-coroutines/发表 2017-08-20 在前面的文章，我们提到了kotlin的基本语法、为什么选用kotlin、根据《Effective Java》Kotlin语法层面的优化、kotlin单元测试编写以及kotlin对包大小影响、kotlin与Java对比运…...
2024/3/31 22:28:39
得逻辑PDA相关资料
我们公司选择了得逻辑的PDA来做开发，其中相关资料如下:7525手持终端7525是一款能呈现最大的灵活性和坚固性的手持电脑。它的DIY自我更新能力使其成为客户在蓬勃发展的移动科技市场中最理想的选择。正是因为它的卓越的灵活性和耐用性， 7525已被证明成功地运用在了在多种不同领…...
2024/4/20 14:46:24
Rx Preferences 简单整理
Rx Preferences 如何使用呢？创建： SharedPreferences preferences = PreferenceManager.getDefaultSharedPreferences(context); RxSharedPreferences rxPreferences = RxSharedPreferences.create(preferences); 如此则生成一个RxSharedPreferences，为后续使用提供实例。 …...
2024/4/17 14:15:20
关于Microsoft Jet 数据库引擎打不开文件
在开发新闻管理系统时用win xp + asp.net + access + ISS 5.0 在 vs 环境中可以正常调试，但将项目发布到ISS后总是提示出现一个错误。Microsoft Jet 数据库引擎打不开文件，它已经被别的用户以独占方式打开，或没有查看数据的权限。堆栈跟踪：[ oleDbException ( 0x8004005):…...
2024/4/28 3:33:18
MyEclipse安装JS代码提示插件——Spket插件）
- Spket插件 -Spket是强大的开发工具，为了JavaScript和XML的开发而生，这个强大的编辑器对JavaScript,XUL/XBLand Yahoo! Widget的开发都有全面的支持 ,例如代码完成，语法高亮和内容概要，帮助开发有成效，创造高效率的javascript代码。小巧的身躯，强大杀伤力，足以具备紫色…...
2024/4/16 22:37:39
Android SharedPreferences的单例模式（一）
放一个SP工具类，后期参考用。 import android.content.Context; import android.content.SharedPreferences; import android.preference.PreferenceManager;import com.guangsu.messenger.MyApplication;import java.util.HashMap;/*** SharedPreferences的单例模式，支持不同…...
2024/4/16 22:36:39

Spring Security 自带防火墙！你都不知道自己的系统有多安全！

1.HttpFirewall

2.防护措施

2.1 只允许白名单中的方法

2.2 请求地址不能有分号

题外话

2.3 必须是标准化 URL

2.4 必须是可打印的 ASCII 字符

2.5 双斜杠不被允许

2.6 % 不被允许

2.7 正反斜杠不被允许

2.8 `.` 不被允许

2.9 小结

3.总结

相关文章

最新文章

Spring Security 自带防火墙！你都不知道自己的系统有多安全！

1.HttpFirewall

2.防护措施

2.1 只允许白名单中的方法

2.2 请求地址不能有分号

题外话

2.3 必须是标准化 URL

2.4 必须是可打印的 ASCII 字符

2.5 双斜杠不被允许

2.6 % 不被允许

2.7 正反斜杠不被允许

2.8 . 不被允许

2.9 小结

3.总结

相关文章

最新文章

2.8 `.` 不被允许