# HttpFirewall
在针对你定义的模式进行测试时,了解该机制是什么以及使用了什么URL值是很重要的。
Servlet 规范为HttpServletRequest定义了几个属性,这些属性可以通过getter方法访问,并且我们可能希望对其进行匹配。它们是contextPath,servletPath,pathInfo和queryString。 Spring 安全性只对保护应用程序内的路径感兴趣,因此contextPath被忽略。不幸的是, Servlet 规范并没有确切地定义servletPath和pathInfo对于特定的请求URI的值将包含什么。例如,一个URL的每个路径段可以包含参数,如RFC 2396 (opens new window)[1]。规范没有明确说明是否应该将这些值包含在servletPath和pathInfo值中,并且不同的容器之间的行为是不同的。当应用程序部署在不从这些值中删除路径参数的容器中时,存在这样的危险:攻击者可能会将它们添加到所请求的URL中,从而导致模式匹配意外成功或失败。[2]。传入URL中的其他变体也是可能的。例如,它可能包含路径遍历序列(如/../)或多个前向斜杠(//),这也可能导致模式匹配失败。一些容器在执行 Servlet 映射之前将这些规范化,但其他容器则不这样做。为了防止此类问题,FilterChainProxy使用HttpFirewall策略来检查和包装请求。默认情况下,未规范化的请求会被自动拒绝,并且为了匹配的目的,会删除路径参数和重复的斜杠。[3]。因此,使用FilterChainProxy来管理安全筛选链是非常重要的。请注意,servletPath和pathInfo值是由容器解码的,因此你的应用程序不应该有任何包含半冒号的有效路径,因为为了匹配的目的,这些部分将被删除。
如上所述,默认策略是使用 Ant 样式的路径进行匹配,这可能是大多数用户的最佳选择。该策略在类AntPathRequestMatcher中实现,该类使用 Spring 的AntPathMatcher对串联的servletPath和pathInfo执行不区分大小写的模式匹配,忽略queryString。
如果出于某种原因,你需要一个更强大的匹配策略,那么可以使用正则表达式。那么策略执行RegexRequestMatcher。有关此类的更多信息,请参见Javadoc。
在实践中,我们建议你在服务层使用方法安全性来控制对应用程序的访问,而不是完全依赖于在Web-Application级别定义的安全约束的使用。URL会发生变化,很难考虑到应用程序可能支持的所有可能的URL,以及如何操纵请求。你应该试着把自己限制在几条简单易懂的路径上。始终尝试使用“默认拒绝”方法,其中你有一个包罗万象的通配符(/或)在最后定义并拒绝访问。
在服务层定义的安全性要强大得多,也更难绕过,因此你应该始终利用 Spring Security的方法安全性选项。
HttpFirewall还通过拒绝HTTP响应头中的新行字符来防止HTTP响应拆分 (opens new window)。
默认情况下使用StrictHttpFirewall。此实现拒绝似乎是恶意的请求。如果对你的需求来说过于严格,那么你可以自定义拒绝的请求类型。然而,重要的是,你要知道这可能会使你的应用程序受到攻击。例如,如果你希望利用 Spring MVC的矩阵变量,可以使用以下配置:
例1.允许矩阵变量
Java
@Bean
public StrictHttpFirewall httpFirewall() {
StrictHttpFirewall firewall = new StrictHttpFirewall();
firewall.setAllowSemicolon(true);
return firewall;
}
XML
<b:bean id="httpFirewall"
class="org.springframework.security.web.firewall.StrictHttpFirewall"
p:allowSemicolon="true"/>
<http-firewall ref="httpFirewall"/>
Kotlin
@Bean
fun httpFirewall(): StrictHttpFirewall {
val firewall = StrictHttpFirewall()
firewall.setAllowSemicolon(true)
return firewall
}
StrictHttpFirewall提供了一个允许的有效HTTP方法列表,这些方法被允许对跨站点跟踪 (opens new window)和HTTP动词篡改 (opens new window)进行保护。默认的有效方法是“delete”、“get”、“head”、“options”、“patch”、“post”和“put”。如果你的应用程序需要修改有效的方法,你可以配置一个自定义的StrictHttpFirewall Bean。例如,以下将只允许HTTP“get”和“postmethod”方法:
例2.只允许get和post(P)
Java
@Bean
public StrictHttpFirewall httpFirewall() {
StrictHttpFirewall firewall = new StrictHttpFirewall();
firewall.setAllowedHttpMethods(Arrays.asList("GET", "POST"));
return firewall;
}
XML
<b:bean id="httpFirewall"
class="org.springframework.security.web.firewall.StrictHttpFirewall"
p:allowedHttpMethods="GET,HEAD"/>
<http-firewall ref="httpFirewall"/>
Kotlin
@Bean
fun httpFirewall(): StrictHttpFirewall {
val firewall = StrictHttpFirewall()
firewall.setAllowedHttpMethods(listOf("GET", "POST"))
return firewall
}
如果你正在使用new MockHttpServletRequest(),则它当前将创建一个HTTP方法作为空字符串“。这是一个无效的HTTP方法,并且将被 Spring Security拒绝。 你可以通过将其替换为 new MockHttpServletRequest("GET", "")来解决此问题。有关请求改进此问题的请参见SPR_16851 (opens new window)。 |
|---|
如果必须允许任何HTTP方法(不推荐),则可以使用StrictHttpFirewall.setUnsafeAllowAnyHttpMethod(true)。这将完全禁用HTTP方法的验证。
StrictHttpFirewall还检查头名称、值和参数名称。它要求每个字符都有一个定义的代码点,而不是一个控制字符。
可以使用以下方法根据需要放松或调整此要求:
StrictHttpFirewall#setAllowedHeaderNames(Predicate)StrictHttpFirewall#setAllowedHeaderValues(Predicate)StrictHttpFirewall#setAllowedParameterNames(Predicate)
而且,参数值可以用setAllowedParameterValues(Predicate)来控制。 |
|---|
例如,要关闭此检查,你可以将你的StrictHttpFirewall与始终返回Predicate的true连接起来,如:
例3.允许任何头名称、头值和参数名称
Java
@Bean
public StrictHttpFirewall httpFirewall() {
StrictHttpFirewall firewall = new StrictHttpFirewall();
firewall.setAllowedHeaderNames((header) -> true);
firewall.setAllowedHeaderValues((header) -> true);
firewall.setAllowedParameterNames((parameter) -> true);
return firewall;
}
Kotlin
@Bean
fun httpFirewall(): StrictHttpFirewall {
val firewall = StrictHttpFirewall()
firewall.setAllowedHeaderNames { true }
firewall.setAllowedHeaderValues { true }
firewall.setAllowedParameterNames { true }
return firewall
}
或者,你可能需要允许一个特定的值。
例如,iPhone X使用User-Agent,其中包含一个不在ISO-8859-1字符集中的字符。由于这一事实,一些应用程序服务器将把这个值解析为两个单独的字符,后者是一个未定义的字符。
你可以使用setAllowedHeaderValues方法来解决这个问题,如下所示:
例4.允许某些用户代理
Java
@Bean
public StrictHttpFirewall httpFirewall() {
StrictHttpFirewall firewall = new StrictHttpFirewall();
Pattern allowed = Pattern.compile("[\\p{IsAssigned}&&[^\\p{IsControl}]]*");
Pattern userAgent = ...;
firewall.setAllowedHeaderValues((header) -> allowed.matcher(header).matches() || userAgent.matcher(header).matches());
return firewall;
}
Kotlin
@Bean
fun httpFirewall(): StrictHttpFirewall {
val firewall = StrictHttpFirewall()
val allowed = Pattern.compile("[\\p{IsAssigned}&&[^\\p{IsControl}]]*")
val userAgent = Pattern.compile(...)
firewall.setAllowedHeaderValues { allowed.matcher(it).matches() || userAgent.matcher(it).matches() }
return firewall
}
对于标头值,你可以考虑在验证时将它们解析为UTF-8,如下所示:
例5.将标题解析为UTF-8
Java
firewall.setAllowedHeaderValues((header) -> {
String parsed = new String(header.getBytes(ISO_8859_1), UTF_8);
return allowed.matcher(parsed).matches();
});
Kotlin
firewall.setAllowedHeaderValues {
val parsed = String(header.getBytes(ISO_8859_1), UTF_8)
return allowed.matcher(parsed).matches()
}
1。当浏览器不支持cookie并且jsessionid参数在分号之后的URL中附加时,你可能已经看到了这种情况。然而,RFC允许在URL的任何路径段中存在这些参数。
2。一旦请求离开FilterChainProxy,将返回原始值,因此应用程序仍然可用。
3。因此,例如,原始请求路径/secure;hack=1/somefile.html;hack=2将返回为/secure/somefile.html。