我们从 Spring Boot 应用程序中的 Struts 2 操作返回 @Result,该操作指定包含相对路径的位置,以便将同级目录中的 jsp 引用到应用程序其余部分的根目录。
@Result(name = "foo", location = "../../cat/bar.jsp")
这适用于 Tomcat 7.0.78,到达 StrictHttpFirewall.getFirewalledRequest 时为:
ApplicationHttpRequest.requestURI = "rootParent/cat/bar.jsp"
在 Tomcat 7.0.79+ 中,这种扁平化不再发生,当请求到达 StrictHttpFirewall 检查 url 规范化时,它会爆炸,因为它到达时为:
ApplicationHttpRequest.requestURI = "rootParent/root/WEB-INF/../../cat/bar.jsp"
我已经搜索过 Apache 7 changelog和 security fixes看看是否有什么可能导致这种情况发生,但一无所获。我尝试调整 useRelativeRedirects Context 属性,但似乎没有任何效果。在调试中逐步通过过滤器链,让我大吃一惊。任何帮助将不胜感激!
最佳答案
所有这些相对路径经常出现在安全漏洞工具中,因此它们通常不是一个好主意,您可能应该停止使用它们。
也就是说,如果您像骡子一样顽固,您仍然可以使用它们,只是不在注释本身内,但是您可以使用 static
变量来实现相同的目的,前提是这些文件作为资源存在于某处:
FooBar.class.getClassLoader().getResource('../../cat/bar.jsp')
关于java - Struts 相对路径在 7.0.78 中变平,但在 7.0.79 中没有变平,打破了 isNormalized,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59976791/