我希望这个问题是不言自明的。我正在使用 CAS 服务器设置 Spring Security 环境。因为在同一台服务器上部署了完全相同的应用程序,但是服务器可以通过不同的主机名(.de 域、.com 域,可能不止这些)访问,我们希望在测试系统和本地系统上部署相同的应用程序同样,我构建了一个动态服务,其中服务 URL 是从请求 URL 派生的。
public static String makeDynamicUrlFromRequest(ServiceProperties serviceProperties, HttpServletRequest request) {
String serviceUrl = "https://backup-url.de/login";
URI uri = null;
try {
uri = new URI(request.getRequestURL().toString());
} catch (URISyntaxException e) {
logger.error("Someone tried accessing a disallowed service!", e);
}
if(uri != null){
serviceUrl = uri.getScheme() + "://" + uri.getHost() + "/login";
}
return serviceUrl;
}
这有可能被欺骗吗?如果是,额外的正则表达式检查是否为我提供了必要的安全措施?
最佳答案
@developerwjk
“如果他们修改了请求 url,你将如何获得请求?”
HTTP 服务器只是一个监听 TCP 端口、等待输入文本并写出一些文本作为响应的程序。 (一个普通的 Web 服务器可以用大约 20 行代码编写。)它只看到与其连接的任何内容的 IP 地址和端口。它甚至可以是代理,或其他某种中间件。如果您不告诉程序“顺便说一下,我是通过 URL http://my.com/myapp/servlet 联系到您的”那么它就不知道了,例如浏览器将如何访问它。
@沙卡
我不知道您的特定设置,但对于 jetty9,getRequestURL 的结果是根据请求 header 中的请求 URL 确定的,并且 - 如果缺少前者 - 中的 URL >主机 参数。也就是说,如果您连接到 my.com 并发送以下请求:
POST http://spoofed1.tld/myapp/servlet HTTP/1.1
Host: spoofed2.tld
(请记住,Host 参数是必需的。)
然后 getRequestURL 将返回 http://spoofed1.tld/myapp/servlet
如果你发送这个:
POST /myapp/servlet HTTP/1.1
Host: spoofed2.tld
然后 jetty 本身会响应
HTTP/1.1 302 Found
Location: http://spoofed2.tld/myapp/servlet
Content-Length: 0
Server: Jetty(<some version number>)
所以答案是是的,HttpServletRequest.getRequestURL() 是可欺骗的!通过修改请求 URL 和/或 Host 请求 header 。
关于java - HttpServletRequest.getRequestURL() 是否可欺骗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31111998/