HttpFirewall

了解其机制以及在针对您定义的模式进行测试时使用的 URL 值非常重要。

Servlet 规范定义了 HttpServletRequest 的几个可通过 getter 方法访问的属性,我们可能希望根据这些属性进行匹配。这些属性是 contextPathservletPathpathInfoqueryString。Spring Security 只关注保护应用程序中的路径,因此 contextPath 被忽略。不幸的是,servlet 规范并未明确定义 servletPathpathInfo 的值对于特定请求 URI 包含什么。例如,URL 的每个路径段可能包含参数,如 RFC 2396 中定义(当浏览器不支持 cookie 并且 jsessionid 参数在分号后附加到 URL 时,您可能已经见过这种情况。然而,RFC 允许这些参数出现在 URL 的任何路径段中。)规范没有明确说明这些是否应包含在 servletPathpathInfo 值中,并且不同 servlet 容器之间的行为有所不同。存在一个危险,即当应用程序部署在一个不会从这些值中剥离路径参数的容器中时,攻击者可以将其添加到请求的 URL 中,从而导致模式匹配意外成功或失败。(原始值将在请求离开 FilterChainProxy 后返回,因此仍可供应用程序使用。)传入 URL 的其他变体也可能存在。例如,它可能包含路径遍历序列(如 /../)或多个斜杠(//),这也可能导致模式匹配失败。一些容器在执行 servlet 映射之前会对其进行标准化,但其他容器则不会。为了防止出现此类问题,FilterChainProxy 使用 HttpFirewall 策略来检查和包装请求。默认情况下,未标准化的请求会自动拒绝,并且出于匹配目的,会移除路径参数和重复的斜杠。(例如,原始请求路径 /secure;hack=1/somefile.html;hack=2 将作为 /secure/somefile.html 返回。)因此,使用 FilterChainProxy 来管理安全过滤器链至关重要。请注意,servletPathpathInfo 值由容器解码,因此您的应用程序不应包含任何带有分号的有效路径,因为这些部分会在匹配时被移除。

如前所述,默认策略是使用 Ant 风格的路径进行匹配,这对于大多数用户来说可能是最佳选择。该策略在类 PathPatternRequestMatcher 中实现,它使用 Spring 的 PathPattern 对连接的 servletPathpathInfo 执行不区分大小写的模式匹配,并忽略 queryString

如果您需要更强大的匹配策略,可以使用正则表达式。此时的策略实现是 RegexRequestMatcher。有关更多信息,请参阅 RegexRequestMatcher 的 Javadoc。

实际上,我们建议您在服务层使用方法安全性来控制对应用程序的访问,而不是完全依赖于在 Web 应用程序级别定义的安全约束。URL 会发生变化,并且很难考虑到应用程序可能支持的所有可能的 URL 以及请求可能如何被操作。您应该限制自己使用一些易于理解的简单 Ant 路径。始终尝试采用“默认拒绝”的方法,即最后定义一个包罗万象的通配符(/)来拒绝访问。

在服务层定义的安全性更加健壮,更难绕过,因此您应该始终利用 Spring Security 的方法安全选项。

HttpFirewall 还通过拒绝 HTTP 响应头中的换行符来防止 HTTP 响应拆分

默认情况下,使用 StrictHttpFirewall 实现。此实现会拒绝被视为恶意的请求。如果它对您的需求来说过于严格,您可以自定义拒绝哪些类型的请求。但是,重要的是您在这样做时要清楚这可能会使您的应用程序面临攻击。例如,如果您希望使用 Spring MVC 的矩阵变量,可以使用以下配置:

允许矩阵变量

  • Java

  • XML

  • Kotlin

@Bean
public StrictHttpFirewall httpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowSemicolon(true);
    return firewall;
}
<b:bean id="httpFirewall"
    class="org.springframework.security.web.firewall.StrictHttpFirewall"
    p:allowSemicolon="true"/>

<http-firewall ref="httpFirewall"/>
@Bean
fun httpFirewall(): StrictHttpFirewall {
    val firewall = StrictHttpFirewall()
    firewall.setAllowSemicolon(true)
    return firewall
}

为了防止 跨站跟踪 (XST)HTTP 动词篡改StrictHttpFirewall 提供了一个允许的有效 HTTP 方法列表。默认的有效方法是 DELETEGETHEADOPTIONSPATCHPOSTPUT。如果您的应用程序需要修改有效方法,您可以配置一个自定义的 StrictHttpFirewall bean。以下示例只允许 HTTP GETPOST 方法

只允许 GET 和 POST

  • Java

  • XML

  • Kotlin

@Bean
public StrictHttpFirewall httpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowedHttpMethods(Arrays.asList("GET", "POST"));
    return firewall;
}
<b:bean id="httpFirewall"
      class="org.springframework.security.web.firewall.StrictHttpFirewall"
      p:allowedHttpMethods="GET,POST"/>

<http-firewall ref="httpFirewall"/>
@Bean
fun httpFirewall(): StrictHttpFirewall {
    val firewall = StrictHttpFirewall()
    firewall.setAllowedHttpMethods(listOf("GET", "POST"))
    return firewall
}

如果您使用 new MockHttpServletRequest(),它目前将 HTTP 方法创建为空字符串 ("")。这是一个无效的 HTTP 方法,并被 Spring Security 拒绝。您可以通过将其替换为 new MockHttpServletRequest("GET", "") 来解决此问题。请参阅 SPR_16851 以了解请求改进此问题的缺陷报告。

如果您必须允许任何 HTTP 方法(不推荐),可以使用 StrictHttpFirewall.setUnsafeAllowAnyHttpMethod(true)。这样做会完全禁用 HTTP 方法的验证。

StrictHttpFirewall 还会检查头部名称、值和参数名称。它要求每个字符都有一个定义的码点,并且不能是控制字符。

此要求可以通过以下方法根据需要放宽或调整

  • StrictHttpFirewall#setAllowedHeaderNames(Predicate)

  • StrictHttpFirewall#setAllowedHeaderValues(Predicate)

  • StrictHttpFirewall#setAllowedParameterNames(Predicate)

参数值也可以通过 setAllowedParameterValues(Predicate) 进行控制。

例如,要关闭此检查,您可以将 StrictHttpFirewall 与始终返回 truePredicate 实例连接起来

允许任何头部名称、头部值和参数名称

  • Java

  • Kotlin

@Bean
public StrictHttpFirewall httpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowedHeaderNames((header) -> true);
    firewall.setAllowedHeaderValues((header) -> true);
    firewall.setAllowedParameterNames((parameter) -> true);
    return firewall;
}
@Bean
fun httpFirewall(): StrictHttpFirewall {
    val firewall = StrictHttpFirewall()
    firewall.setAllowedHeaderNames { true }
    firewall.setAllowedHeaderValues { true }
    firewall.setAllowedParameterNames { true }
    return firewall
}

或者,您可能需要允许某个特定值。

例如,iPhone Xʀ 使用的 User-Agent 包含一个不在 ISO-8859-1 字符集中的字符。因此,一些应用服务器会将此值解析成两个单独的字符,其中后者是一个未定义的字符。

您可以使用 setAllowedHeaderValues 方法来解决此问题

允许某些用户代理

  • Java

  • Kotlin

@Bean
public StrictHttpFirewall httpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    Pattern allowed = Pattern.compile("[\\p{IsAssigned}&&[^\\p{IsControl}]]*");
    Pattern userAgent = ...;
    firewall.setAllowedHeaderValues((header) -> allowed.matcher(header).matches() || userAgent.matcher(header).matches());
    return firewall;
}
@Bean
fun httpFirewall(): StrictHttpFirewall {
    val firewall = StrictHttpFirewall()
    val allowed = Pattern.compile("[\\p{IsAssigned}&&[^\\p{IsControl}]]*")
    val userAgent = Pattern.compile(...)
    firewall.setAllowedHeaderValues { allowed.matcher(it).matches() || userAgent.matcher(it).matches() }
    return firewall
}

对于头部值,您可以考虑在验证时将其解析为 UTF-8

将头部解析为 UTF-8

  • Java

  • Kotlin

firewall.setAllowedHeaderValues((header) -> {
    String parsed = new String(header.getBytes(ISO_8859_1), UTF_8);
    return allowed.matcher(parsed).matches();
});
firewall.setAllowedHeaderValues {
    val parsed = String(header.getBytes(ISO_8859_1), UTF_8)
    return allowed.matcher(parsed).matches()
}
© . This site is unofficial and not affiliated with VMware.