引入了 Shiro 的項目請求路徑中帶有中文報錯400 的問題

来源:https://www.cnblogs.com/emanjusaka/p/18108878/page_20
-Advertisement-
Play Games

當我們的項目中引入了 Shiro 後,帶有中文的請求路徑會被攔截並返回 400 的錯誤。一般我們的請求路徑是不會帶有中文字元,但當我們訪問靜態資源時那些文件是有可能是中文名稱的。 ...


by emanjusaka from https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400 彼岸花開可奈何
本文歡迎分享與聚合,全文轉載請留下原文地址。

當我們的項目中引入了 Shiro 後,帶有中文的請求路徑會被攔截並返回 400 的錯誤。一般我們的請求路徑是不會帶有中文字元,但當我們訪問靜態資源時那些文件是有可能是中文名稱的。比如通過 SpringBoot 的靜態資源映射預覽上傳的圖片,這些上傳的圖片名稱就可能是中文的。在沒有引入 Shiro 的項目中是可以正常預覽的,但引入了 Shiro 的項目中預覽這些文件時就會遇到報錯 400 的問題。

造成錯誤的原因

造成這個問題的是原因是 Shiro 有一個全局的攔截器InvalidRequestFilter,它會檢查請求的路徑是否合法,如果不合法就會阻止該請求進一步處理並返回 400 的錯誤。帶有中文的請求路徑正是它認為不合法的情況之一。該請求過濾器在請求 URI 中發現以下字元都會認為其不合法並阻止該請求:

  • 分號:可以通過設置 blockSemicolon = false 來禁用
  • 反斜杠:可以通過設置blockBackslash = false 來禁用
  • 非ascii字元-可以通過設置blockNonAscii = false來禁用,禁用此檢查的功能將在將來的版本中刪除。
  • 路徑遍歷-可以通過設置blockTraversal = false來禁用

檢查的路徑

    @Override
    protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest request = WebUtils.toHttp(req);
        // check the original and decoded values
        return isValid(request.getRequestURI())      // user request string (not decoded)
                && isValid(request.getServletPath()) // decoded servlet part
                && isValid(request.getPathInfo());   // decoded path info (may be null)
    }

它會檢查請求的各個組成部分,包括原始請求 URI、解碼後的 servlet 路徑和解碼後的路徑信息是否符合特定的規則或格式。也就是是否包含分號、反斜杠、非 ascii 字元和路徑遍歷,如果包含這些東西的某一個都表明是不合法的,isAccessAllowed方法就會返回 false,從而阻止此次請求的進一步處理。

requestURI、servletPath 和 pathInfo 的區別

HttpServletRequest 類中的 getRequestURI()、getServletPath() 和 getPathInfo() 這三個方法分別提供了不同層次的請求路徑信息:

  1. request.getRequestURI():
    返回的是客戶端發送的完整請求URI,也就是請求行中的請求資源部分,不包含協議、主機名和埠號,但包括查詢參數(如果有)。
    示例:如果請求是 https://www.emanjusaka.top/context-path/some/path?param=value ,則 getRequestURI() 返回 /context-path/some/path?param=value。
  2. request.getServletPath():
    返回的是匹配到當前Servlet的路徑部分,這部分路徑是根據web.xml或Spring MVC的@RequestMapping註解等配置確定的。
    示例:如果請求是 https://www.emanjusaka.top/context-path/my-app/some/path,假設 /my-app/* 匹配到了一個Servlet,則 getServletPath() 返回 /my-app/some(具體值取決於Servlet映射配置)。
  3. request.getPathInfo():
    返回的是請求URI中除Servlet路徑之外的部分,這部分被稱為路徑信息(Path Info),通常包含匹配Servlet之後剩餘的具體資源路徑。
    繼續上面的示例,對於請求 https://www.emanjusaka.top/context-path/my-app/some/path,getPathInfo() 返回 /path,因為 /some/path 超出了 /my-app/* 的Servlet映射,/some 是Servlet路徑,而 /path 是額外的路徑信息。

總結起來,getRequestURI() 是整個請求資源路徑,包括可能存在的查詢參數;getServletPath() 是匹配到的Servlet路徑;而 getPathInfo() 是請求資源路徑中超出Servlet映射的那一部分。

解決方案

下麵給出兩種解決方案:

  • 通過設置blockNonAscii = false來禁用中文字元不合法的檢查(現版本生效的解決方案,可能會在以後的某個版本失效)
  • 通過自定義過濾器替換掉InvalidRequestFilter來讓中文字元通過合法檢查

方案一:

@Configuration
@Slf4j
public class ShiroConfig {
      @Bean
    public InvalidRequestFilter invalidRequestFilter() {
        InvalidRequestFilter invalidRequestFilter = new InvalidRequestFilter();
        invalidRequestFilter.setBlockNonAscii(false);
        return invalidRequestFilter;
    }
   @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new LinkedHashMap<>();
        //登出
        map.put("/logout", "logout");
        //登錄
        map.put("/login/**", "anon");
        //對所有用戶認證
        map.put("/**", "authc");
        //登錄
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        //首頁
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //錯誤頁面,認證不通過跳轉
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        HashMap<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("invalidRequest", invalidRequestFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        return shiroFilterFactoryBean;
    }
  
  //... 省略其他配置
}

方案二:

自定義的 CNInvalidRequestFilter,把 InvalidRequestFilter 的代碼複製了過來,只修改其中一小部分,在不影響原始功能的情況下,讓中文字元的請求路徑通過檢查。

package top.emanjusaka.filter;

import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
import java.util.Objects;
import java.util.stream.Stream;

@Component
public class CNInvalidRequestFilter extends AccessControlFilter {
    private static final List<String> SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));
    private static final List<String> BACKSLASH = Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));
    private boolean blockSemicolon = true;
    private boolean blockBackslash = !Boolean.getBoolean("org.apache.shiro.web.ALLOW_BACKSLASH");
    private boolean blockNonAscii = true;

    protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest request = WebUtils.toHttp(req);
        return this.isValid(request.getRequestURI()) && this.isValid(request.getServletPath()) && this.isValid(request.getPathInfo());
    }

    private boolean isValid(String uri) {
        return !StringUtils.hasText(uri) || !this.containsSemicolon(uri) && !this.containsBackslash(uri) && !this.containsNonAsciiCharacters(uri);
    }

    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        WebUtils.toHttp(response).sendError(400, "Invalid request");
        return false;
    }

    private boolean containsSemicolon(String uri) {
        if (this.isBlockSemicolon()) {
            Stream<String> var10000 = SEMICOLON.stream();
            Objects.requireNonNull(uri);
            return var10000.anyMatch(uri::contains);
        } else {
            return false;
        }
    }

    private boolean containsBackslash(String uri) {
        if (this.isBlockBackslash()) {
            Stream<String> var10000 = BACKSLASH.stream();
            Objects.requireNonNull(uri);
            return var10000.anyMatch(uri::contains);
        } else {
            return false;
        }
    }

    private boolean containsNonAsciiCharacters(String uri) {
        if (this.isBlockNonAscii()) {
            return !containsOnlyPrintableAsciiCharacters(uri);
        } else {
            return false;
        }
    }

    private boolean isChinese(char c) {
        Character.UnicodeBlock ub = Character.UnicodeBlock.of(c);
        return ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS
                || ub == Character.UnicodeBlock.CJK_COMPATIBILITY_IDEOGRAPHS
                || ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_A
                || ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_B
                || ub == Character.UnicodeBlock.CJK_SYMBOLS_AND_PUNCTUATION
                || ub == Character.UnicodeBlock.HALFWIDTH_AND_FULLWIDTH_FORMS
                || ub == Character.UnicodeBlock.GENERAL_PUNCTUATION;
    }

    private boolean containsOnlyPrintableAsciiCharacters(String uri) {
        int length = uri.length();

        for (int i = 0; i < length; ++i) {
            char c = uri.charAt(i);
            if ((c < ' ' || c > '~') && !isChinese(c)) {
                return false;
            }
        }

        return true;
    }

    public boolean isBlockSemicolon() {
        return this.blockSemicolon;
    }

    public void setBlockSemicolon(boolean blockSemicolon) {
        this.blockSemicolon = blockSemicolon;
    }

    public boolean isBlockBackslash() {
        return this.blockBackslash;
    }

    public void setBlockBackslash(boolean blockBackslash) {
        this.blockBackslash = blockBackslash;
    }

    public boolean isBlockNonAscii() {
        return this.blockNonAscii;
    }

    public void setBlockNonAscii(boolean blockNonAscii) {
        this.blockNonAscii = blockNonAscii;
    }
}

配置自定義的過濾器到 shiro 中

@Configuration
@Slf4j
public class ShiroConfig {
   @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new LinkedHashMap<>();
        //登出
        map.put("/logout", "logout");
        //登錄
        map.put("/login/**", "anon");
        //對所有用戶認證
        map.put("/**", "authc");
        //登錄
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        //首頁
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //錯誤頁面,認證不通過跳轉
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        HashMap<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("invalidRequest", new CNInvalidRequestFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        return shiroFilterFactoryBean;
    }
  //... 省略其他配置
}

參考資料

  1. https://blog.pressed.top/2021/03/26/springboot_shiro/#InvalidRequestFilter

在技術的星河中遨游,我們互為引路星辰,共同追逐成長的光芒。願本文的洞見能觸動您的思緒,若有所共鳴,請以點贊之手,輕撫贊同的弦。
原文地址: https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400
微信公眾號:emanjusaka的編程棧


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 客戶管理系統的應用架構設計 應用層定義了軟體系統的應用功能,負責接收用戶的請求,協調領域層能力來執行任務,並將結果返回給用戶,功能模塊包括: 客戶管理:核心功能模塊,負責收集和更新客戶信息,包括個人資料、聯繫方式、消費習慣、會員卡、歸屬信息(比如銷售或顧問)和備註。這個模塊是CRM系統的基礎,支撐其 ...
  • C++ 數學 C++ 有許多函數可以讓您在數字上執行數學任務。 最大值和最小值 max(x, y) 函數可用於找到 x 和 y 的最大值: 示例 cout << max(5, 10); 而 min(x, y) 函數可用於找到 x 和 y 的最小值: 示例 cout << min(5, 10); C+ ...
  • 1 枚舉好用嗎? 數據字典型欄位,枚舉比Integer好: 限定值,只能賦值枚舉的那幾個實例,不能像Integer隨便輸,保存和查詢的時候特別有用 含義明確,使用時不需要去查數據字典 顯示值跟存儲值直接映射,不需要手動轉換,比如1在頁面上顯示為啟用,0顯示禁用,枚舉定義好可以直接顯示 基於enum可 ...
  • 本文基於 OpenJDK17 進行討論 在 JDK NIO 針對堆外記憶體的分配場景中,我們經常會看到 System.gc 的身影,比如當我們通過 FileChannel#map 對文件進行記憶體映射的時候,如果 JVM 進程虛擬記憶體空間中的虛擬記憶體不足,JVM 在 native 層就會拋出 OutOf ...
  • 問題描述 問題和 unordered_set 有關,相關代碼如下: //列印unordered_set的所有值 void printSet(const std::unordered_set<std::string> &data) { int index = 0; auto it = data.beg ...
  • 本文介紹在Anaconda環境下,安裝Python讀取.xls格式表格文件的庫xlrd的方法。 xlrd是一個用於讀取Excel文件的Python庫,下麵是xlrd庫的一些主要特點和功能: 讀取Excel文件:xlrd可以打開和讀取Excel文件,並提取其中的數據和元數據。 支持多種數據類型:xlr ...
  • 很長時間沒做,忙於考研和實習,久違的的拾起了演算法。做了很長時間,其實總體思路還是很簡單的,但滿分不知道為什麼就是到不了,又因為網上很多答案包括柳神的都是c++,無法參透,姑且只能這樣了。 Given a pair of positive integers, for example, 6 and 11 ...
  • 目錄log 日誌庫標準簡單示例使用方法庫的開發者應用開發者日誌庫開發者使用 log4rs添加依賴配置文件運行項目參考文章 log 日誌庫標準 log 是 Rust 的日誌門面庫,由官方積極維護可以放心使用。它是Rust的日誌門面,相應的日誌 API 已成為事實上的標準被其它日誌框架所使用,有了日誌門 ...
一周排行
    -Advertisement-
    Play Games
  • 隨著Aspire發佈preview5的發佈,Microsoft.Extensions.ServiceDiscovery隨之更新, 服務註冊發現這個屬於老掉牙的話題解決什麼問題就不贅述了,這裡主要講講Microsoft.Extensions.ServiceDiscovery(preview5)以及如何 ...
  • 概述:通過使用`SemaphoreSlim`,可以簡單而有效地限制非同步HTTP請求的併發量,確保在任何給定時間內不超過20個網頁同時下載。`ParallelOptions`不適用於非同步操作,但可考慮使用`Parallel.ForEach`,儘管在非同步場景中謹慎使用。 對於併發非同步 I/O 操作的數量 ...
  • 1.Linux上安裝Docken 伺服器系統版本以及內核版本:cat /etc/redhat-release 查看伺服器內核版本:uname -r 安裝依賴包:yum install -y yum-utils device-mapper-persistent-data lvm2 設置阿裡雲鏡像源:y ...
  • 概述:WPF界面綁定和渲染大量數據可能導致性能問題。通過啟用UI虛擬化、非同步載入和數據分頁,可以有效提高界面響應性能。以下是簡單示例演示這些優化方法。 在WPF中,當你嘗試綁定和渲染大量的數據項時,性能問題可能出現。以下是一些可能導致性能慢的原因以及優化方法: UI 虛擬化: WPF提供了虛擬化技術 ...
  • 引言 上一章節介紹了 TDD 的三大法則,今天我們講一下在單元測試中模擬對象的使用。 Fake Fake - Fake 是一個通用術語,可用於描述 stub或 mock 對象。 它是 stub 還是 mock 取決於使用它的上下文。 也就是說,Fake 可以是 stub 或 mock Mock - ...
  • 為.net6在CentOS7上面做準備,先在vmware虛擬機安裝CentOS 7.9 新建CentOS764位的系統 因為CentOS8不更新了,所以安裝7;簡單就一筆帶過了 選擇下載好的操作系統的iso文件,下載地址https://mirrors.aliyun.com/centos/7.9.20 ...
  • 經過前面幾篇的學習,我們瞭解到指令的大概分類,如:參數載入指令,該載入指令以 Ld 開頭,將參數載入到棧中,以便於後續執行操作命令。參數存儲指令,其指令以 St 開頭,將棧中的數據,存儲到指定的變數中,以方便後續使用。創建實例指令,其指令以 New 開頭,用於在運行時動態生成並初始化對象。方法調用指... ...
  • LiteDB 是一個輕量級的嵌入式 NoSQL 資料庫,其設計理念與 MongoDB 類似,但它是完全使用 C# 開發的,因此與 C# 應用程式的集成非常順暢。與 SQLite 相比,LiteDB 提供了 NoSQL(即鍵值對)的數據存儲方式,並且是一個開源且免費的項目。它適用於桌面、移動以及 We ...
  • 1 開源解析和拆分文檔 第三方的工具去對文件解析拆分,去將我們的文件內容給提取出來,並將我們的文檔內容去拆分成一個小的chunk。常見的PDF word mark down, JSON、HTML。都可以有很好的一些模塊去把這些文件去進行一個東西去提取。 優勢 支持豐富的文檔類型 每種文檔多樣化選擇 ...
  • OOM是什麼?英文全稱為 OutOfMemoryError(記憶體溢出錯誤)。當程式發生OOM時,如何去定位導致異常的代碼還是挺麻煩的。 要檢查OOM發生的原因,首先需要瞭解各種OOM情況下會報的異常信息。這樣能縮小排查範圍,再結合異常堆棧、heapDump文件、JVM分析工具和業務代碼來判斷具體是哪 ...