代码之家  ›  专栏  ›  技术社区  ›  curious1

如何配置Spring MVC防止“基于路径的漏洞”

spring-boot spring-mvc spring
  •  0
  • curious1  · 技术社区  · 7 年前 

    @RequestMapping(value = "/faq", method = RequestMethod.GET)
public String faq(HttpServletRequest request) {
    return "faq";
}

    对于上述控制器,以下是我的常见问题页面的有效url:

    http://example.com/faq

    http://example.com/faq.anything

    如何配置springmvc使 http://example.com/faq 到唯一有效的URL(假设我不使用@PathVariable)

    1 回复  |  直到 7 年前
        1
  •  2
  •   Markus Pscheidt WEGSY85    7 年前

    因为spring支持后缀“.*”默认值。 /person也映射到/person* /person.xml或/person.pdf或/person.any也被映射。 -要完全禁用文件扩展名的使用,必须同时设置以下两项:

    .favorPathExtension(错误)

    https://docs.spring.io/spring/docs/current/spring-framework-reference/web.html#mvc-ann-requestmapping-suffix-pattern-match

    推荐文章
    PatPanda  ·  使用springboot验证请求中的列表是否为[null]
    8 月前
    Bojidar Kaloyanov  ·  为什么即使有有效的JWT,Spring Boot也会对安全端点的POST请求返回403 Forbidden?
    8 月前
    mikeb  ·  Maven和Spring引导-我需要强制logback 1.5.13,但不能
    9 月前
    Nuñito Calzada  ·  AWS SDK 1.12.780 Java版的凭据
    9 月前
    Python_user  ·  build/lib不是由gradle build生成的
    9 月前
    Chirag Arora  ·  如何在构造函数中使用注入的依赖关系?
    9 月前
    sree  ·  Spring Mongo仓库:通过传递id列表来获取对象列表
    10 月前
    David  ·  如何修复javax/xml/bind/DatatypeConverter的java.lang.NoClassDefFoundError错误
    1 年前
    RobertC  ·  Spring中默认实现的Autowire接口
    1 年前
    molLbach  ·  向Spring后端发送axios post请求时出现400错误
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号