胖虎的工具箱-编程导航 胖虎的工具箱-编程导航

The request was rejected because the URL contained a potentially malicious String “;“问题的正确解决姿势

2年前 (2022) 程序员胖胖胖虎阿
256 0 0

问题的复盘

首先这个问题出现的时机是,当用户访问特定的连接(如http://localhost/index)时没有权限,被重定向到登录页面http://localhost/login。为了登录成功后再跳转到目标访问的页面http://localhost/index,Spring Security会在Cookie中存一个信息,标记一为一个jsessionid。重定向时Servlet容器,也就是tomcat之类的会把jsessionid编码到重定向url,也就是http://localhost/login;jsessionid=xxxxxxxxxx。这种请求会被Spring Security的StrictHttpFirewall拦截,引发进而The request was rejected because the URL contained a potentially malicious String ";"错误。

安全策略

OWASP指出在URL中暴露jsessionid是非常危险的举动,可能导致会话固定攻击,因此不建议上述的行为。

解决方案

目前有两种解决方案。

允许url携带jsessionid

这种在网上很多,如果浏览器的cookie被禁用或者你的应用可以容忍上述安全漏洞你可以在Spring Security中采取这种方式:

httpSecurity
  .sessionManagement()
    .enableSessionUrlRewriting(true);

这种不建议使用。

修改servlet容器的会话机制

在 Spring Boot 中配置 Tomcat 的跟踪模式:

server.servlet.session.tracking-modes=cookie

版权声明:程序员胖胖胖虎阿 发表于 2022年10月30日 下午10:48。
转载请注明:The request was rejected because the URL contained a potentially malicious String “;“问题的正确解决姿势 | 胖虎的工具箱-编程导航

相关文章

springboot完整启动流程
程序员胖胖胖虎阿
315
IDEA2019激活码(idea的最新永久免费激活码,永久激活IDEA)
程序员胖胖胖虎阿
301
Intellij IDEA最新免费激活码(windows/mac idea正版破解教程,激活至2099年)
程序员胖胖胖虎阿
178
#yyds干货盘点#dart系列之:dart语言中的特殊操作符
程序员胖胖胖虎阿
206
IDEA最新永久 破解教程(IDEA最新版破解方法亲测有效!!)
程序员胖胖胖虎阿
345
IntelliJ IDEA2019激活码(IDEA专业版永久激活码每日更新)
程序员胖胖胖虎阿
218

暂无评论

暂无评论...
致力于称为最好的程序员导航网站

友链申请 免责声明 关于我们

Copyright © 2022  胖虎的工具箱-编程导航   陇ICP备2022001249号