ServerWebExchangeFirewall
惡意使用者可以透過多種方式建立請求,這些請求可能會利用應用程式的漏洞。Spring Security 提供了 ServerWebExchangeFirewall 來拒絕惡意請求。預設實現是 StrictServerWebExchangeFirewall,它會拒絕惡意請求。
例如,請求可能包含路徑遍歷序列(如 /../)或多個正斜槓(//),這也可能導致模式匹配失敗。有些容器在執行 servlet 對映之前會對其進行規範化,但有些則不會。為了防止此類問題,WebFilterChainProxy 使用 ServerWebExchangeFirewall 策略來檢查和包裝請求。預設情況下,未規範化的請求會自動拒絕,並且出於匹配目的會移除路徑引數。(因此,例如,原始請求路徑 /secure;hack=1/somefile.html;hack=2 會返回為 /secure/somefile.html。)因此,使用 WebFilterChainProxy 至關重要。
實際上,我們建議您在服務層使用方法安全性來控制對應用程式的訪問,而不是完全依賴於在 Web 應用程式級別定義的安全約束。URL 會發生變化,並且很難考慮到應用程式可能支援的所有可能的 URL 以及請求可能被操縱的方式。您應該限制自己使用一些簡單易懂的模式。始終嘗試使用“預設拒絕”方法,即您最後定義一個包羅永珍的萬用字元(/ 或 )來拒絕訪問。
在服務層定義的安全更加健壯且更難繞過,因此您應始終利用 Spring Security 的方法安全選項。
您可以透過將其公開為 Bean 來自定義 ServerWebExchangeFirewall。
-
Java
-
Kotlin
@Bean
public StrictServerWebExchangeFirewall httpFirewall() {
StrictServerWebExchangeFirewall firewall = new StrictServerWebExchangeFirewall();
firewall.setAllowSemicolon(true);
return firewall;
}@Bean
fun httpFirewall(): StrictServerWebExchangeFirewall {
val firewall = StrictServerWebExchangeFirewall()
firewall.setAllowSemicolon(true)
return firewall
}為了防範 跨站跟蹤 (XST) 和 HTTP 動詞篡改,StrictServerWebExchangeFirewall 提供了一個允許的有效 HTTP 方法列表。預設的有效方法是 DELETE、GET、HEAD、OPTIONS、PATCH、POST 和 PUT。如果您的應用程式需要修改有效方法,您可以配置一個自定義的 StrictServerWebExchangeFirewall bean。以下示例僅允許 HTTP GET 和 POST 方法
-
Java
-
Kotlin
@Bean
public StrictServerWebExchangeFirewall httpFirewall() {
StrictServerWebExchangeFirewall firewall = new StrictServerWebExchangeFirewall();
firewall.setAllowedHttpMethods(Arrays.asList("GET", "POST"));
return firewall;
}@Bean
fun httpFirewall(): StrictServerWebExchangeFirewall {
val firewall = StrictServerWebExchangeFirewall()
firewall.setAllowedHttpMethods(listOf("GET", "POST"))
return firewall
}如果您必須允許任何 HTTP 方法(不推薦),您可以使用 StrictServerWebExchangeFirewall.setUnsafeAllowAnyHttpMethod(true)。這樣做會完全停用 HTTP 方法的驗證。
StrictServerWebExchangeFirewall 還會檢查頭部名稱和值以及引數名稱。它要求每個字元都有一個定義的程式碼點而不是控制字元。
此要求可以透過以下方法根據需要放寬或調整
-
StrictServerWebExchangeFirewall#setAllowedHeaderNames(Predicate) -
StrictServerWebExchangeFirewall#setAllowedHeaderValues(Predicate) -
StrictServerWebExchangeFirewall#setAllowedParameterNames(Predicate)
|
引數值也可以透過 |
例如,要關閉此檢查,您可以將您的 StrictServerWebExchangeFirewall 配置為始終返回 true 的 Predicate 例項
-
Java
-
Kotlin
@Bean
public StrictServerWebExchangeFirewall httpFirewall() {
StrictServerWebExchangeFirewall firewall = new StrictServerWebExchangeFirewall();
firewall.setAllowedHeaderNames((header) -> true);
firewall.setAllowedHeaderValues((header) -> true);
firewall.setAllowedParameterNames((parameter) -> true);
return firewall;
}@Bean
fun httpFirewall(): StrictServerWebExchangeFirewall {
val firewall = StrictServerWebExchangeFirewall()
firewall.setAllowedHeaderNames { true }
firewall.setAllowedHeaderValues { true }
firewall.setAllowedParameterNames { true }
return firewall
}或者,您可能需要允許特定的值。
例如,iPhone Xʀ 使用的 User-Agent 包含一個不在 ISO-8859-1 字元集中的字元。由於這個事實,一些應用程式伺服器將此值解析為兩個單獨的字元,其中後者是一個未定義的字元。
您可以透過 setAllowedHeaderValues 方法解決此問題
-
Java
-
Kotlin
@Bean
public StrictServerWebExchangeFirewall httpFirewall() {
StrictServerWebExchangeFirewall firewall = new StrictServerWebExchangeFirewall();
Pattern allowed = Pattern.compile("[\\p{IsAssigned}&&[^\\p{IsControl}]]*");
Pattern userAgent = ...;
firewall.setAllowedHeaderValues((header) -> allowed.matcher(header).matches() || userAgent.matcher(header).matches());
return firewall;
}@Bean
fun httpFirewall(): StrictServerWebExchangeFirewall {
val firewall = StrictServerWebExchangeFirewall()
val allowed = Pattern.compile("[\\p{IsAssigned}&&[^\\p{IsControl}]]*")
val userAgent = Pattern.compile(...)
firewall.setAllowedHeaderValues { allowed.matcher(it).matches() || userAgent.matcher(it).matches() }
return firewall
}在頭部值的情況下,您可以考慮在驗證時將其解析為 UTF-8
-
Java
-
Kotlin
firewall.setAllowedHeaderValues((header) -> {
String parsed = new String(header.getBytes(ISO_8859_1), UTF_8);
return allowed.matcher(parsed).matches();
});firewall.setAllowedHeaderValues {
val parsed = String(header.getBytes(ISO_8859_1), UTF_8)
return allowed.matcher(parsed).matches()
}ServerExchangeRejectedHandler 介面用於處理 Spring Security 的 ServerWebExchangeFirewall 丟擲的 ServerExchangeRejectedException。預設情況下,當請求被拒絕時,HttpStatusExchangeRejectedHandler 用於向客戶端傳送 HTTP 400 響應。為了自定義行為,使用者可以公開一個 ServerExchangeRejectedHandler Bean。例如,以下將在請求被拒絕時傳送 HTTP 404
-
Java
-
Kotlin
@Bean
ServerExchangeRejectedHandler rejectedHandler() {
return new HttpStatusExchangeRejectedHandler(HttpStatus.NOT_FOUND);
}@Bean
fun rejectedHandler(): ServerExchangeRejectedHandler {
return HttpStatusExchangeRejectedHandler(HttpStatus.NOT_FOUND)
}可以透過建立自定義的 ServerExchangeRejectedHandler 實現來完全自定義處理。
