Spring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未标准化

2023-12-06

不确定这是否是 Spring 5.0.3 的一个错误，或者是一个新功能来修复我的问题。

升级后，我收到此错误。有趣的是，这个错误仅出现在我的本地计算机上。使用 HTTPS 协议的测试环境中的相同代码运行良好。

继续...

我收到此错误的原因是因为我用于加载结果 JSP 页面的 URL 是/location/thisPage.jsp。评估代码request.getRequestURI()给我结果/WEB-INF/somelocation//location/thisPage.jsp。如果我将 JSP 页面的 URL 固定为此location/thisPage.jsp，一切正常。

所以我的问题是，我应该删除/ from JSP代码中的路径，因为这是未来所需要的。或者Spring引入了一个错误，因为我的机器和测试环境之间的唯一区别是协议HTTP versus HTTPS.

 org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.
    at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:123)
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:194)
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:186)
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:357)
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:270)

Spring安全文档在请求中提到了阻止 // 的原因。

例如，它可能包含路径遍历序列（如 /../）或多个正斜杠（//），这也可能导致模式匹配失败。有些容器在执行 servlet 映射之前将这些规范化，但其他容器则不然。为了防止出现此类问题，FilterChainProxy 使用 HttpFirewall 策略来检查和包装请求。默认情况下，未规范化的请求会被自动拒绝，并且出于匹配目的，会删除路径参数和重复斜杠。

所以有两种可能的解决方案 -

删除双斜杠（首选方法）
通过使用以下代码自定义 StrictHttpFirewall 允许在 Spring Security 中使用 // 。

Step 1创建允许 URL 中出现斜杠的自定义防火墙。

@Bean
public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowUrlEncodedSlash(true);    
    return firewall;
}

Step 2然后在websecurity中配置这个bean

@Override
public void configure(WebSecurity web) throws Exception {
    //@formatter:off
    super.configure(web);
    web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
....
}

步骤2是可选步骤，Spring Boot只需要声明一个类型的beanHttpFirewall它会在过滤器链中自动配置它。

Spring安全5.4更新

在 Spring security 5.4 及更高版本（Spring Boot >= 2.4.0）中，我们可以通过创建以下 bean 来消除太多抱怨请求被拒绝的日志。

import org.springframework.security.web.firewall.RequestRejectedHandler;
import org.springframework.security.web.firewall.HttpStatusRequestRejectedHandler;

@Bean
RequestRejectedHandler requestRejectedHandler() {
   return new HttpStatusRequestRejectedHandler();
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

SpringMVC

SpringSecurity

Spring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未标准化的相关文章

如何在spring mvc中从控制器名称+操作名称获取映射的URL？

是否有现有的解决方案可以从 Spring MVC3 中的控制器名称操作名称获取映射的 URL 例如 asp net mvc 或 Rails 中的 UrlHelper 我觉得非常有用 thx 也许你想要这样的东西 in your Co
类权限不是域类或 GORM 尚未正确初始化或已关闭

我正在开发一个 Grails 休息应用程序我使用的grails版本是3 3 1 我正在使用 spring security rest 进行授权我使用 s2 quickstart 命令创建了以下类 User 权威用户权限该应用程序运行
javax.persistence.TransactionRequiredException：没有可用于当前线程的实际事务的 EntityManager

我使用 Hibernate 创建了我的第一个 Spring MVC 项目我的 DAO 层使用 JPA EntityManager 与数据库交互 GenericDao java Repository public abstract clas
为本地@ExceptionHandler编写JUnit测试

我有以下控制器 class Controller ResponseStatus HttpStatus OK RequestMapping value verifyCert method RequestMethod GET public vo
Spring OAuth2 - JWT 令牌在服务器上工作但不在本地主机上工作？

我看到了myapp能够在服务器上正确处理 OAuth2 JWT 令牌但在本地主机上给出令牌转换错误我的流程如下在服务器上 the myapp就在我们的后面custom api gateway 获取访问令牌通过邮递员我点击了 api
Java导入语句中的错误“无法解析导入javax.validation.constraints.NotNull”

开发Spring roo项目后我在类中发现以下错误 The import javax validation constraints NotNull cannot be resolved NotNull cannot be resolved
如何让 Spring 控制器从 POJO 返回 CSV？ [复制]

这个问题在这里已经有答案了给定一个简单的 Java 对象 public class Pojo private String x private String y private String z getters setters 是否有一些
cvc-complex-type.2.4.c：匹配通配符严格，但找不到元素“mvc:annotation-driven”的声明

我猜这是一个 xml 解析问题但我只是看不到它在哪里我读了一些关于这个主题的文章但没有任何帮助我有这个 spring mvc 配置
getRedirectForAuthorization 期间 RequestEnhancer 不用于 AuthorizationCodeAccessTokenProvider

我想做的是添加一个额外的参数openid realm我的授权请求我的问题非常类似于https github com spring projects spring security oauth issues 123 https github
如何使用类路径位置

为了解决这个问题我到处寻找但找不到解决方案问题如下我在 Tomcat 7 服务器上构建了一个 Spring mvc web 应用程序准确地说是 7 0 12 并且我在获取
使用 Spring MVC 返回 PDF 文件

实际上我有这个功能我有一个框架可以在其中设置 URL ip port birt preview report report rptdesign format pdf parameters 并且该框架呈现 PDF 文件但我想隐藏该网址
Spring MVC 重定向到特定 url 的 jsp

我正在将 Spring MVC 用于 AngularJS 项目我从前缀为 rest 的 url 提供 JSON 服务所有jsp文件都是直接访问的路由是使用Angular js处理的我需要在访问 jsp 文件之前进行自定义验证对于其
使用 API 密钥和机密保护 Spring Boot API

我想保护 Spring Boot API 的安全以便只有拥有有效 API 密钥和秘密的客户端才能访问它但是程序内部没有身份验证使用用户名和密码的标准登录因为所有数据都是匿名的我想要实现的目标是所有 API 请求只能用于特定的第三
Spring Hibernate中的@Transient方法调用

我有一个 Pojo 类在其中创建一个未与数据库表映射的字段所以我必须声明字段Declaration和setter和getter方法 Transient 否则会显示错误 Transient private String docHistor
Spring MVC 和复选框

我正在使用 Spring MVC 3 0 并且不能完全看到这个问题的所有部分我的控制器将生成一个域对象列表假设有一个简单的 User 对象具有firstName lastName age 和role 属性我想在表中输出该用户列表每
Spring MVC 中 init binder 的用途是什么

这是互联网上 init binder 的代码 InitBinder public void initBinder WebDataBinder binder SimpleDateFormat dateFormat new SimpleDate
Spring security：在 3.1 中，仅针对“GET”请求绕过安全过滤器

我希望我的服务仅对传入的 POST PUT DELETE 请求执行身份验证并绕过任何 GET 请求 Spring 版本低于 3 1 具有 filters none 属性可用于绕过特定 URL 模式的所有安全过滤器在 3 1 中 fil
Spring-Social/Twitter -- ConnectController 不响应 /connect？

好吧我已经拉了我的头发很长时间了至少看起来是这样试图找出我做错了什么我有一个Java项目我想允许用户登录通过正常的Spring 启用安全性 JDBC 的存储库向我的应用程序授予对其 Twitter 帐户的访问权限我已经在 T
SecurityContextHolder.getContext().getAuthentication() 返回 null

我想使用以下代码手动绕过 spring Security 的用户 User localeUser new User UsernamePasswordAuthenticationToken auth new UsernamePasswordA
如何在 Spring Mvc 项目中设置上下文根

我在 Tomcat 服务器中使用 Spring MVC 项目每次运行应用程序时服务器上下文根都会更改如何设置固定上下文根我的项目名称是 DemoApplication 首先部署此上下文根路径是 http localhost 808

随机推荐

从 Excel 工作表中读取随机单元格值

我已存储 RANDBETWEEN 10 20 在我的Excel工作表中这个公式在Excel工作表中生成10到20之间的随机值我需要在我的java程序中读取这5个随机值虽然该函数在我的 Excel 工作表中给出了不同的值但我的 jav
UnboundLocalError：赋值前引用的局部变量“cursor”[重复]

这个问题在这里已经有答案了所以我是一个新手但正在使用 Flask MYSQL 开发注册系统表单我收到此错误 UnboundLocalError 赋值前引用的局部变量 cursor 经过几个小时的代码研究和研究后我需要你的帮助这是我
什么时候应该使用static_cast、dynamic_cast、const_cast和reinterpret_cast？

正确的使用方法有哪些 static cast dynamic cast const cast reinterpret cast type value C型演员阵容 type value 函数式转换如何决定在哪些特定情况下使用哪一个 sta
onget 处理程序剃刀页面

我在 asp net core razor 页面上的 GET 表单上有一个按钮
为什么我的 WPF 程序没有 Visual Studio 就无法运行？

我制作了一个使用 SQLite 的 WPF 程序通过使用 Visual Studio 2012 它生成了Debug and Release版本exe文件当我去Debug or Release目录并运行我的 exe 文件例如MultiS
Java-如何为 JFrame 设置 setToolTipText

我想将鼠标移动到使用 g2D drawRenderedImag 在 JFrame 上绘制的图像上并在鼠标光标旁边的工具提示文本处显示该像素的 x y IE Graphics2D g2D Graphics2D g g2D drawRende
重载S3通用加法和乘法函数

我正在尝试重载通用 S3 add 函数和乘法函数到目前为止我成功地重载了所有 Ops 操作员功能 foo lt structure list value 1 txt a class foo Ops foo lt function e
围绕图片中心旋转图片

有没有一种简单的方法可以使图片绕其中心旋转我用了一个仿射变换运算第一的这看起来很简单而且需要为矩阵找到正确的参数应该在一个漂亮而整洁的谷歌会话中完成所以我认为我的结果是这样的 public class RotateOp impl
SQL ORDER BY 从本月开始的月份

我有一个返回 1 12 月份的查询 INT 有没有办法订购从本月开始的结果 Example 3 4 5 6 7 8 9 10 11 12 1 2 Thanks 编辑本月描述我的意思是这个实际的月份月份获取日期按顺序尝试简单的数学计
如何汇款至任何 PayPal 账户

是否可以使用 paypal API 向任何 paypal 帐户不仅仅是 API 凭证所有者汇款我知道可以使用 IPN 来做到这一点但我需要使用 SOAP 您有两个主要选项使用大众支付接口 or 自适应支付 API Note 自适应
如何：在 Apache 2.4.4 上设置虚拟主机 [ MAC / *NIX ]

我发布这篇文章是因为我最近在使用 MAMP 堆栈设置虚拟主机时遇到了很多麻烦这是由于 Apple 对 Mac OS 10 8 默认 Apache2 安装上可用 PHP 版本的限制这是一个关于如何操作的快速指南我在 Stack Over
如何反序列化带有前缀命名空间但没有 ns 前缀元素的 XML 文档？

我有一个来自外部源的 XML 文档
前/后递增/递减和操作符顺序混乱

我正在进行一些练习但我对此感到困惑 public static int f int x int y int b y while b gt 0 if x 2 0 x y y 2 else x x 2 b b x 1 return x y 目
如何垂直显示范围输入滑块

我想显示一个
当查询大量数据时，第一次游标操作很慢。怎么解决？

我必须查询三个表并将数据显示到我的 customerView 中我的代码是这样的 Log v TAG System CurrentTimeMillis int len cursor getCount Log v TAG System C
基于选择框的动态部分 - Rails 2.3.5

我已经编辑了我的请求希望更清楚我需要根据先前的选择框动态渲染部分请求属于产品产品所属类别 CATEGORY有很多产品产品有很多要求用户点击表单 create request html erb 用户选择一个类别然后填充产品选择列
TextRenderer 不绘制长字符串

看看这个样本 public partial class Form1 Form private static string myString null private const int MAX TEXT 5460 public Form1
JDBC 从 Access 表中选择最大值

每当我运行以下代码时即使该列存在于我的表中我也会收到错误未找到列我正在使用access数据库请寻求帮助 public class Trial1 public static void main String args try Cla
动态改变 Objective C 中单元格的高度

我创建了一个带有表格视图的应用程序它在每个单元格中使用视图和标签但是如果我在 cell 代码中创建视图和单元格它会返回空单元格如果我删除 cell 条件它会显示数据但不采用动态高度谁能帮帮我吗 void viewDidLoa
Spring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未标准化

不确定这是否是 Spring 5 0 3 的一个错误或者是一个新功能来修复我的问题升级后我收到此错误有趣的是这个错误仅出现在我的本地计算机上使用 HTTPS 协议的测试环境中的相同代码运行良好继续我收到此错误的原因是因为我用

Spring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未标准化

Spring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未标准化 的相关文章

随机推荐

热门标签

Spring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未标准化的相关文章