The request was rejected because the URL contained a potentially malicious String “；“问题的正确解决姿势

码农小胖哥

2024-05-05 帮助1人

问题的复盘

首先这个问题出现的时机是，当用户访问特定的连接（如http://localhost/index）时没有权限，被重定向到登录页面http://localhost/login。为了登录成功后再跳转到目标访问的页面http://localhost/index，Spring Security会在Cookie中存一个信息，标记一为一个jsessionid。重定向时Servlet容器，也就是tomcat之类的会把jsessionid编码到重定向url，也就是http://localhost/login;jsessionid=xxxxxxxxxx。这种请求会被Spring Security的StrictHttpFirewall拦截，引发进而The request was rejected because the URL contained a potentially malicious String ";"错误。

安全策略

OWASP指出在URL中暴露jsessionid是非常危险的举动，可能导致会话固定攻击，因此不建议上述的行为。

解决方案

目前有两种解决方案。

允许url携带jsessionid

这种在网上很多，如果浏览器的cookie被禁用或者你的应用可以容忍上述安全漏洞你可以在Spring Security中采取这种方式：

httpSecurity
  .sessionManagement()
    .enableSessionUrlRewriting(true);

这种不建议使用。

修改servlet容器的会话机制

在 Spring Boot 中配置 Tomcat 的跟踪模式：

server.servlet.session.tracking-modes=cookie

这篇好文章是转载于：学新通技术网

The request was rejected because the URL contained a potentially malicious String “；“问题的正确解决姿势

问题的复盘

安全策略

解决方案

允许url携带jsessionid

修改servlet容器的会话机制

photoshop保存的图片太大微信发不了怎么办

《学习通》视频自动暂停处理方法

word里面弄一个表格后上面的标题会跑到下面怎么办

Android 11 保存文件到外部存储，并分享文件

photoshop扩展功能面板显示灰色怎么办

微信公众号没有声音提示怎么办

excel下划线不显示怎么办

excel打印预览压线压字怎么办

TikTok加速器哪个好免费的TK加速器推荐

怎样阻止微信小程序自动打开