當我們的項目中引入了 Shiro 後,帶有中文的請求路徑會被攔截並返回 400 的錯誤。一般我們的請求路徑是不會帶有中文字元,但當我們訪問靜態資源時那些文件是有可能是中文名稱的。 ...
by emanjusaka from https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400 彼岸花開可奈何
本文歡迎分享與聚合,全文轉載請留下原文地址。
當我們的項目中引入了 Shiro 後,帶有中文的請求路徑會被攔截並返回 400 的錯誤。一般我們的請求路徑是不會帶有中文字元,但當我們訪問靜態資源時那些文件是有可能是中文名稱的。比如通過 SpringBoot 的靜態資源映射預覽上傳的圖片,這些上傳的圖片名稱就可能是中文的。在沒有引入 Shiro 的項目中是可以正常預覽的,但引入了 Shiro 的項目中預覽這些文件時就會遇到報錯 400 的問題。
造成錯誤的原因
造成這個問題的是原因是 Shiro 有一個全局的攔截器InvalidRequestFilter,它會檢查請求的路徑是否合法,如果不合法就會阻止該請求進一步處理並返回 400 的錯誤。帶有中文的請求路徑正是它認為不合法的情況之一。該請求過濾器在請求 URI 中發現以下字元都會認為其不合法並阻止該請求:
- 分號:可以通過設置 blockSemicolon = false 來禁用
- 反斜杠:可以通過設置blockBackslash = false 來禁用
- 非ascii字元-可以通過設置blockNonAscii = false來禁用,禁用此檢查的功能將在將來的版本中刪除。
- 路徑遍歷-可以通過設置blockTraversal = false來禁用
檢查的路徑
@Override
protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
HttpServletRequest request = WebUtils.toHttp(req);
// check the original and decoded values
return isValid(request.getRequestURI()) // user request string (not decoded)
&& isValid(request.getServletPath()) // decoded servlet part
&& isValid(request.getPathInfo()); // decoded path info (may be null)
}
它會檢查請求的各個組成部分,包括原始請求 URI、解碼後的 servlet 路徑和解碼後的路徑信息是否符合特定的規則或格式。也就是是否包含分號、反斜杠、非 ascii 字元和路徑遍歷,如果包含這些東西的某一個都表明是不合法的,isAccessAllowed方法就會返回 false,從而阻止此次請求的進一步處理。
requestURI、servletPath 和 pathInfo 的區別
HttpServletRequest 類中的 getRequestURI()、getServletPath() 和 getPathInfo() 這三個方法分別提供了不同層次的請求路徑信息:
request.getRequestURI():
返回的是客戶端發送的完整請求URI,也就是請求行中的請求資源部分,不包含協議、主機名和埠號,但包括查詢參數(如果有)。
示例:如果請求是https://www.emanjusaka.top/context-path/some/path?param=value,則 getRequestURI() 返回 /context-path/some/path?param=value。request.getServletPath():
返回的是匹配到當前Servlet的路徑部分,這部分路徑是根據web.xml或Spring MVC的@RequestMapping註解等配置確定的。
示例:如果請求是https://www.emanjusaka.top/context-path/my-app/some/path,假設 /my-app/* 匹配到了一個Servlet,則 getServletPath() 返回 /my-app/some(具體值取決於Servlet映射配置)。request.getPathInfo():
返回的是請求URI中除Servlet路徑之外的部分,這部分被稱為路徑信息(Path Info),通常包含匹配Servlet之後剩餘的具體資源路徑。
繼續上面的示例,對於請求https://www.emanjusaka.top/context-path/my-app/some/path,getPathInfo() 返回 /path,因為 /some/path 超出了 /my-app/* 的Servlet映射,/some 是Servlet路徑,而 /path 是額外的路徑信息。
總結起來,getRequestURI() 是整個請求資源路徑,包括可能存在的查詢參數;getServletPath() 是匹配到的Servlet路徑;而 getPathInfo() 是請求資源路徑中超出Servlet映射的那一部分。
解決方案
下麵給出兩種解決方案:
- 通過設置
blockNonAscii = false來禁用中文字元不合法的檢查(現版本生效的解決方案,可能會在以後的某個版本失效) - 通過自定義過濾器替換掉
InvalidRequestFilter來讓中文字元通過合法檢查
方案一:
@Configuration
@Slf4j
public class ShiroConfig {
@Bean
public InvalidRequestFilter invalidRequestFilter() {
InvalidRequestFilter invalidRequestFilter = new InvalidRequestFilter();
invalidRequestFilter.setBlockNonAscii(false);
return invalidRequestFilter;
}
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> map = new LinkedHashMap<>();
//登出
map.put("/logout", "logout");
//登錄
map.put("/login/**", "anon");
//對所有用戶認證
map.put("/**", "authc");
//登錄
shiroFilterFactoryBean.setLoginUrl(loginUrl);
//首頁
shiroFilterFactoryBean.setSuccessUrl("/index");
//錯誤頁面,認證不通過跳轉
shiroFilterFactoryBean.setUnauthorizedUrl("/error");
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
HashMap<String, Filter> filterMap = new LinkedHashMap<>();
filterMap.put("invalidRequest", invalidRequestFilter());
shiroFilterFactoryBean.setFilters(filterMap);
return shiroFilterFactoryBean;
}
//... 省略其他配置
}
方案二:
自定義的 CNInvalidRequestFilter,把 InvalidRequestFilter 的代碼複製了過來,只修改其中一小部分,在不影響原始功能的情況下,讓中文字元的請求路徑通過檢查。
package top.emanjusaka.filter;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
import java.util.Objects;
import java.util.stream.Stream;
@Component
public class CNInvalidRequestFilter extends AccessControlFilter {
private static final List<String> SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));
private static final List<String> BACKSLASH = Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));
private boolean blockSemicolon = true;
private boolean blockBackslash = !Boolean.getBoolean("org.apache.shiro.web.ALLOW_BACKSLASH");
private boolean blockNonAscii = true;
protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
HttpServletRequest request = WebUtils.toHttp(req);
return this.isValid(request.getRequestURI()) && this.isValid(request.getServletPath()) && this.isValid(request.getPathInfo());
}
private boolean isValid(String uri) {
return !StringUtils.hasText(uri) || !this.containsSemicolon(uri) && !this.containsBackslash(uri) && !this.containsNonAsciiCharacters(uri);
}
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
WebUtils.toHttp(response).sendError(400, "Invalid request");
return false;
}
private boolean containsSemicolon(String uri) {
if (this.isBlockSemicolon()) {
Stream<String> var10000 = SEMICOLON.stream();
Objects.requireNonNull(uri);
return var10000.anyMatch(uri::contains);
} else {
return false;
}
}
private boolean containsBackslash(String uri) {
if (this.isBlockBackslash()) {
Stream<String> var10000 = BACKSLASH.stream();
Objects.requireNonNull(uri);
return var10000.anyMatch(uri::contains);
} else {
return false;
}
}
private boolean containsNonAsciiCharacters(String uri) {
if (this.isBlockNonAscii()) {
return !containsOnlyPrintableAsciiCharacters(uri);
} else {
return false;
}
}
private boolean isChinese(char c) {
Character.UnicodeBlock ub = Character.UnicodeBlock.of(c);
return ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS
|| ub == Character.UnicodeBlock.CJK_COMPATIBILITY_IDEOGRAPHS
|| ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_A
|| ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_B
|| ub == Character.UnicodeBlock.CJK_SYMBOLS_AND_PUNCTUATION
|| ub == Character.UnicodeBlock.HALFWIDTH_AND_FULLWIDTH_FORMS
|| ub == Character.UnicodeBlock.GENERAL_PUNCTUATION;
}
private boolean containsOnlyPrintableAsciiCharacters(String uri) {
int length = uri.length();
for (int i = 0; i < length; ++i) {
char c = uri.charAt(i);
if ((c < ' ' || c > '~') && !isChinese(c)) {
return false;
}
}
return true;
}
public boolean isBlockSemicolon() {
return this.blockSemicolon;
}
public void setBlockSemicolon(boolean blockSemicolon) {
this.blockSemicolon = blockSemicolon;
}
public boolean isBlockBackslash() {
return this.blockBackslash;
}
public void setBlockBackslash(boolean blockBackslash) {
this.blockBackslash = blockBackslash;
}
public boolean isBlockNonAscii() {
return this.blockNonAscii;
}
public void setBlockNonAscii(boolean blockNonAscii) {
this.blockNonAscii = blockNonAscii;
}
}
配置自定義的過濾器到 shiro 中
@Configuration
@Slf4j
public class ShiroConfig {
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, String> map = new LinkedHashMap<>();
//登出
map.put("/logout", "logout");
//登錄
map.put("/login/**", "anon");
//對所有用戶認證
map.put("/**", "authc");
//登錄
shiroFilterFactoryBean.setLoginUrl(loginUrl);
//首頁
shiroFilterFactoryBean.setSuccessUrl("/index");
//錯誤頁面,認證不通過跳轉
shiroFilterFactoryBean.setUnauthorizedUrl("/error");
shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
HashMap<String, Filter> filterMap = new LinkedHashMap<>();
filterMap.put("invalidRequest", new CNInvalidRequestFilter());
shiroFilterFactoryBean.setFilters(filterMap);
return shiroFilterFactoryBean;
}
//... 省略其他配置
}
參考資料
在技術的星河中遨游,我們互為引路星辰,共同追逐成長的光芒。願本文的洞見能觸動您的思緒,若有所共鳴,請以點贊之手,輕撫贊同的弦。
原文地址: https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400
微信公眾號:emanjusaka的編程棧
