मेरे मौजूदा स्प्रिंग वेब MVC आवेदन नियंत्रक में निम्नलिखित हैंडलर मानचित्रण है।यूआरएल में एचटीएमएल फ़िल्टरिंग स्प्रिंग एमवीसी एप्लीकेशन - क्या यह एक सुरक्षा समस्या है?
@RequestMapping(method = RequestMethod.GET, value = "/welcome")
मैं निम्नलिखित अनुरोध http://www.example.com/welcome
को गति प्रदान करते हैं और इस ठीक काम करता है।
समस्या
http://www.example.com/welcome.check.blah
भी काम करता है !!!
इसके अलावा, स्क्रिप्ट टैग के साथ एप्लिकेशन को एक HTTP GET अनुरोध URL को फिर से चलाया जा रहा है हालांकि यह प्राधिकरण में विफल रहता है।
उदाहरण http://www.example.com/welcome<script>alert("hi")</script>
ब्राउज़र विंडो में और मेरे प्राधिकरण के तर्क का एक परिणाम के रूप में इस तरह के रूप में पुन: प्रदर्शित हो जाता है "अधिकृत नहीं" संदेश प्रदर्शित होता है।
मुझे आश्चर्य है कि यह एक सुरक्षा समस्या है और क्या मुझे कोड में कोई एन्कोडिंग/फ़िल्टरिंग करने की आवश्यकता है?
usesuffixPatternMatch के बारे में उनका कहना है के लिए धन्यवाद कि कोशिश करेंगे आप अन्य बिंदु के बारे में कोई जानकारी के है -।। यह एक सुरक्षा मुद्दा कर सकता है? हम के रूप में दर्ज यूआरएल redisplaying से ब्राउज़र को रोकने? – Raghav
मैं इसे परीक्षण किया है और हाँ यूआरएल पुन: प्रदर्शित किया जाता है लेकिन
आप उस प्रकार की मैपिंग अनुरोध करने के लिए वसंत का उपयोग करते हैं (यानी "/ कुछ भी") वसंत वास्तव में अपने नियंत्रक कई URL का मानचित्रण:
/स्वागत करते
/welcome.*
/स्वागत/
इसे रोकने के लिए - या तो अधिक विशिष्ट जब आप RequestMapping (यानी /welcome.htm), या मैन्युअल यूआरएल नक्शा अपने XML config में नियंत्रक करने के लिए:
चीयर्स, पीट
स्रोत
2012-03-13 16:52:16 Petey22uk
प्रतिक्रिया के लिए धन्यवाद। लेकिन हूँ पहले से ही एनोटेशन आधारित अनुरोध हैंडलर मानचित्रण का उपयोग और मैं उपयोग कर सकते हैं नहीं ".htm" प्रत्यय :( – Raghav
तुम भी यूआरएल ढांचा उल्लेख करते हुए web.xml में इस सीमित कर सकते हैं। दे रही है "/ " के बजाय, आप अपने web.xml में "/ .htm" का उल्लेख कर सकते हैं।
कुछ
तरहस्रोत
2012-03-13 17:37:02 raddykrish
दुर्भाग्य से, मैं ऐसा नहीं कर सकते। भेजे अनुरोध के प्रारूप में आता है "/ स्वागत? कुंजी = मान" और नहीं "/welcome.html"। यह अंतर्निहित प्रौद्योगिकी मुखौटा करने के लिए किया गया है। – Raghav
ओह ok..acceptable ... लेकिन मेरे लिए यह किसी भी खुलासा नहीं करता है अंतर्निहित प्रौद्योगिकी बल्कि यह यूआरएल ढांचा नहीं निर्दिष्ट करता है हालांकि ... अद्यतन उत्तर के लिए – raddykrish
आप useDefaultSuffixPattern संपत्ति का उपयोग कर सकते हैं।
इसके अलावा URL Pattern Restricting in SPRING MVC
स्रोत
2012-06-04 18:16:28 schhajed
उल्लेख वर्तमान वसंत जावा config में, वहाँ एक ही बात कॉन्फ़िगर करने के लिए एक से थोड़ा आसान तरीका है:
स्रोत
2017-08-31 08:44:24
धन्यवाद! –